Threat Database Mobile Malware Schoolyard Bully Mobile Malware

Schoolyard Bully Mobile Malware

Kibernetički kriminalci ciljaju vjerodajnice Facebooka korisnika Androida koji ništa ne sumnjaju u sklopu kampanje napada koja traje najmanje od 2018. Akteri prijetnji koriste prethodno nepoznati mobilni malware koji se prati kao Schoolyard Bully Trojan. Zlonamjerna kampanja uspjela je kompromitirati Android uređaje više od 300.000 korisnika u 71 zemlji. Međutim, utvrđeno je da se većina žrtava nalazi u Vijetnamu. Prikupljeni podaci šalju se na Firebase C&C (Command and Control) poslužitelj. Pojedinosti o prijetnji i kampanji napada otkrivene su u izvješću stručnjaka za infosec u Zimperium zLabs.

Prijetnja Schoolyard bully širi se pod krinkom naizgled legitimnih aplikacija. Zlonamjerne aplikacije predstavljaju se kao obrazovni alati ili aplikacije koje korisnicima omogućuju pristup širokom rasponu knjiga iz brojnih različitih žanrova. Neke od ovih naoružanih aplikacija čak su mogle privremeno zaobići sigurnosnu zaštitu službene trgovine Google Play i biti dostupne za preuzimanje. Google je uklonio aplikacije Schoolyard Bully, no korisnici bi se i dalje mogli zaraziti ako ih preuzmu s manje sigurne trgovine aplikacija ili platforme trećih strana.

Zlonamjerne mogućnosti

Schoolyard Bully dizajniran je posebno za krađu Facebook vjerodajnica svojih žrtava. Točnije, trojanac će pokušati kompromitirati e-mail, telefonski broj, lozinku, ID i pravo ime žrtve. Dodatna zlonamjerna funkcija poslat će još više detalja (Facebook vjerodajnice, Facebook naziv, API uređaja, RAM uređaja, naziv uređaja) namjenskom poslužitelju kojim upravljaju napadači.

Kako bi sakrila svoju prisutnost od sigurnosnih rješenja, prijetnja koristi izvorne biblioteke. Schoolyard Bully koristi istu tehniku za pohranjivanje svojih C&C podataka kao matične knjižnice pod nazivom 'libabc.so.' Prijetnja također kodira sve svoje nizove kao dodatni mehanizam protiv otkrivanja. Kako bi ukrao vjerodajnice žrtve, zlonamjerni softver otvara legitimni URL unutar WebViewa, gdje će zlonamjerna injekcija javascripta izvući podatke ciljanog korisnika. Prijetnja koristi metodu 'evaluateJavascript' kao način za ubacivanje koda.

U trendu

Nagledanije

Učitavam...