Threat Database Mobile Malware Schoolyard Bully Mobile Malware

Schoolyard Bully Mobile Malware

A számítógépes bûnözõk gyanútlan Android-felhasználók Facebook-azonosítóit vették célba egy legalább 2018 óta tartó támadási kampány részeként. A fenyegetések szereplõi egy korábban ismeretlen, Schoolyard Bully Trojan néven nyomon követett rosszindulatú programot használnak. A rosszindulatú kampánynak több mint 300 000 felhasználó Android-eszközeit sikerült feltörnie 71 országban. A legtöbb áldozat azonban Vietnamban található. A gyűjtött adatokat a rendszer elküldi a Firebase C&C (Command and Control) szerverére. A fenyegetés és a támadási kampány részleteit a Zimperium zLabs infosec szakértői jelentették be.

A Schoolyard zaklató fenyegetést látszólag legitim alkalmazások leple alatt terjesztik. A rosszindulatú alkalmazások oktatási eszközökként vagy alkalmazásokként jelennek meg, amelyek a felhasználók számára számos különböző műfajú könyvhöz biztosítanak hozzáférést. Ezen fegyveres alkalmazások némelyike átmenetileg megkerülte a hivatalos Google Play Áruház biztonsági védelmét, és letölthetővé vált. A Google eltávolította a Schoolyard Bully alkalmazásokat, de a felhasználók továbbra is megfertőződhetnek, ha kevésbé biztonságos, harmadik féltől származó alkalmazásboltból vagy platformról töltik le őket.

Rosszindulatú képességek

A Schoolyard Bullyt kifejezetten arra tervezték, hogy ellopja áldozatainak Facebook-hitelesítő adatait. Pontosabban, a trójai megpróbálja feltörni az áldozatok e-mail-címét, telefonszámát, jelszavát, azonosítóját és valódi nevét. Egy további rosszindulatú funkció még több részletet (Facebook hitelesítő adatok, Facebook név, eszköz API, eszköz RAM, eszköz neve) küld a támadók által irányított dedikált szerverre.

Hogy elrejtse jelenlétét a biztonsági megoldások által, a fenyegetés natív könyvtárakat használ. A Schoolyard Bully ugyanazt a technikát használja a C&C adatainak tárolására a „libabc.so” nevű natív könyvtárként. A fenyegetés emellett az összes karakterláncát az észlelés elleni további mechanizmusként kódolja. Az áldozat hitelesítő adatainak ellopásához a rosszindulatú program megnyitja a legitim URL-t a WebView-n belül, ahol egy rosszindulatú JavaScript-injektálás kivonja a megcélzott felhasználó adatait. A fenyegetés az „evaluateJavascript” módszert használja a kódbefecskendezés végrehajtására.

Felkapott

Legnézettebb

Betöltés...