Threat Database Mobile Malware Schoolyard Bully Mobile Malware

Schoolyard Bully Mobile Malware

I criminali informatici hanno preso di mira le credenziali di Facebook di ignari utenti Android come parte di una campagna di attacco che è in corso almeno dal 2018. Gli autori delle minacce utilizzano un malware mobile precedentemente sconosciuto tracciato come Schoolyard Bully Trojan. La campagna dannosa è riuscita a compromettere i dispositivi Android di oltre 300.000 utenti sparsi in 71 paesi. La maggior parte delle vittime, tuttavia, è stata identificata come localizzata in Vietnam. I dati raccolti vengono inviati a un server Firebase C&C (Command and Control). I dettagli sulla minaccia e sulla campagna di attacco sono stati svelati in un rapporto degli esperti di sicurezza informatica di Zimperium zLabs.

La minaccia del bullo di Schoolyard si diffonde con il pretesto di app apparentemente legittime. Le applicazioni dannose si presentano come strumenti educativi o app che forniscono agli utenti l'accesso a una vasta gamma di libri di numerosi generi diversi. Alcune di queste app armate sono state persino in grado di aggirare temporaneamente le protezioni di sicurezza del Google Play Store ufficiale ed essere disponibili per il download. Google ha rimosso le app Schoolyard Bully, ma gli utenti potrebbero comunque essere infettati se le scaricassero da un app store o una piattaforma di terze parti meno sicura.

Capacità dannose

Schoolyard Bully è progettato specificamente per rubare le credenziali di Facebook delle sue vittime. Più specificamente, il Trojan tenterà di compromettere l'e-mail, il numero di telefono, la password, l'ID e il vero nome delle vittime. Un'ulteriore funzione dannosa invierà ancora più dettagli (credenziali di Facebook, nome di Facebook, API del dispositivo, RAM del dispositivo, nome del dispositivo) a un server dedicato controllato dagli aggressori.

Per nascondere la sua presenza affinché non venga rilevata dalle soluzioni di sicurezza, la minaccia utilizza librerie native. Schoolyard Bully utilizza la stessa tecnica per archiviare i suoi dati C&C come una libreria nativa denominata "libabc.so". La minaccia codifica anche tutte le sue stringhe come meccanismo aggiuntivo contro il rilevamento. Per rubare le credenziali della vittima, il malware apre l'URL legittimo all'interno di WebView, dove un'iniezione di javascript dannosa estrarrà i dati dell'utente preso di mira. La minaccia utilizza il metodo "evaluateJavascript" come metodo per eseguire l'iniezione di codice.

Tendenza

I più visti

Caricamento in corso...