Threat Database Mobile Malware Schoolyard Bully Mobile Malware

Schoolyard Bully Mobile Malware

ឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតបាននិងកំពុងកំណត់គោលដៅលើព័ត៌មានសម្ងាត់របស់ Facebook របស់អ្នកប្រើប្រាស់ Android ដែលមិនមានការសង្ស័យជាផ្នែកនៃយុទ្ធនាការវាយប្រហារដែលបានចាប់ផ្តើមតាំងពីឆ្នាំ 2018 មកម្ល៉េះ។ តួអង្គគំរាមកំហែងកំពុងប្រើប្រាស់មេរោគទូរស័ព្ទដែលមិនស្គាល់ពីមុនដែលត្រូវបានតាមដានជា Schoolyard Bully Trojan ។ យុទ្ធនាការព្យាបាទបានគ្រប់គ្រងដើម្បីសម្របសម្រួលឧបករណ៍ Android របស់អ្នកប្រើប្រាស់ជាង 300,000 ដែលរីករាលដាលនៅទូទាំង 71 ប្រទេស។ យ៉ាង​ណា​ក៏​ដោយ ជន​រង​គ្រោះ​ភាគ​ច្រើន​ត្រូវ​បាន​គេ​កំណត់​អត្តសញ្ញាណ​ថា​មាន​ទី​តាំង​នៅ​ក្នុង​ប្រទេស​វៀតណាម។ ទិន្នន័យប្រមូលផលត្រូវបានផ្ញើទៅកាន់ម៉ាស៊ីនមេ Firebase C&C (Command and Control)។ ព័ត៌មានលម្អិតអំពីការគំរាមកំហែង និងយុទ្ធនាការវាយប្រហារត្រូវបានបង្ហាញនៅក្នុងរបាយការណ៍ដោយអ្នកជំនាញ infosec នៅ Zimperium zLabs ។

ការគម្រាមកំហែងរបស់សាលា Schoolyard ត្រូវបានរីករាលដាលក្រោមការបង្ហាញពីកម្មវិធីដែលហាក់ដូចជាស្របច្បាប់។ កម្មវិធីព្យាបាទបង្កើតជាឧបករណ៍អប់រំ ឬកម្មវិធីដែលផ្តល់ឱ្យអ្នកប្រើប្រាស់ចូលទៅកាន់សៀវភៅជាច្រើនប្រភេទពីប្រភេទផ្សេងៗគ្នាជាច្រើន។ កម្មវិធីអាវុធទាំងនេះមួយចំនួនថែមទាំងអាចឆ្លងកាត់ការការពារសុវត្ថិភាពរបស់ Google Play Store ផ្លូវការជាបណ្តោះអាសន្ន ហើយអាចទាញយកបាន។ Google បានលុបកម្មវិធី Schoolyard Bully ប៉ុន្តែអ្នកប្រើប្រាស់នៅតែអាចឆ្លងមេរោគ ប្រសិនបើពួកគេទាញយកវាពីហាងកម្មវិធី ឬវេទិកាភាគីទីបីដែលមិនសូវមានសុវត្ថិភាព។

សមត្ថភាពព្យាបាទ

Schoolyard Bully ត្រូវបានរចនាឡើងជាពិសេសដើម្បីលួចអត្តសញ្ញាណ Facebook របស់ជនរងគ្រោះ។ កាន់តែពិសេសជាងនេះទៅទៀតនោះ Trojan នឹងព្យាយាមសម្របសម្រួលអ៊ីម៉ែល លេខទូរស័ព្ទ ពាក្យសម្ងាត់ លេខសម្គាល់ និងឈ្មោះពិតរបស់ជនរងគ្រោះ។ មុខងារព្យាបាទបន្ថែមនឹងផ្ញើព័ត៌មានលម្អិតបន្ថែម (លិខិតសម្គាល់ Facebook ឈ្មោះ Facebook ឧបករណ៍ API, RAM ឧបករណ៍ ឈ្មោះឧបករណ៍) ទៅម៉ាស៊ីនមេដែលគ្រប់គ្រងដោយអ្នកវាយប្រហារ។

ដើម្បីលាក់វត្តមានរបស់វាពីការទទួលយកដោយដំណោះស្រាយសុវត្ថិភាព ការគំរាមកំហែងប្រើប្រាស់បណ្ណាល័យដើម។ Schoolyard Bully ប្រើបច្ចេកទេសដូចគ្នានេះដើម្បីរក្សាទុកទិន្នន័យ C&C របស់ខ្លួនជាបណ្ណាល័យដើមដែលមានឈ្មោះថា 'libabc.so.' ការគំរាមកំហែងនេះក៏អ៊ិនកូដខ្សែទាំងអស់របស់វាជាយន្តការបន្ថែមប្រឆាំងនឹងការរកឃើញ។ ដើម្បីលួចអត្តសញ្ញាណរបស់ជនរងគ្រោះ មេរោគនឹងបើក URL ស្របច្បាប់នៅក្នុង WebView ដែលការចាក់ javascript ព្យាបាទនឹងទាញយកទិន្នន័យរបស់អ្នកប្រើប្រាស់គោលដៅ។ ការគំរាមកំហែងប្រើវិធីសាស្ត្រ 'evaluateJavascript' ជាមធ្យោបាយមួយដើម្បីអនុវត្តការបញ្ចូលកូដ។

និន្នាការ

មើលច្រើនបំផុត

កំពុង​ផ្ទុក...