Threat Database Mobile Malware Schoolyard Bully Mobile Malware

Schoolyard Bully Mobile Malware

사이버 범죄자들은 적어도 2018년부터 계속되고 있는 공격 캠페인의 일환으로 의심하지 않는 Android 사용자의 Facebook 자격 증명을 표적으로 삼고 있습니다. 위협 행위자는 Schoolyard Bully Trojan으로 추적된 이전에 알려지지 않은 모바일 맬웨어를 사용하고 있습니다. 이 악성 캠페인은 71개국에 걸쳐 300,000명 이상의 사용자가 사용하는 Android 기기를 손상시키는 데 성공했습니다. 그러나 대부분의 피해자는 베트남에 거주하는 것으로 확인되었습니다. 수집된 데이터는 Firebase C&C(Command and Control) 서버로 전송됩니다. Zimperium zLabs의 정보 보안 전문가가 작성한 보고서에서 위협 및 공격 캠페인에 대한 세부 정보가 공개되었습니다.

Schoolyard 괴롭힘 위협은 겉보기에 합법적인 앱으로 위장하여 확산됩니다. 악성 애플리케이션은 사용자에게 다양한 장르의 광범위한 책에 대한 액세스를 제공하는 교육 도구 또는 앱으로 가장합니다. 이러한 무기화된 앱 중 일부는 공식 Google Play 스토어의 보안 보호 기능을 일시적으로 우회하여 다운로드할 수 있습니다. Google은 Schoolyard Bully 앱을 제거했지만 사용자가 덜 안전한 타사 앱 스토어 또는 플랫폼에서 다운로드하면 여전히 감염될 수 있습니다.

악의적인 기능

Schoolyard Bully는 피해자의 Facebook 자격 증명을 훔치기 위해 특별히 설계되었습니다. 보다 구체적으로, 트로이 목마는 피해자의 이메일, 전화번호, 비밀번호, ID 및 실명을 손상시키려고 시도합니다. 추가 악성 기능은 공격자가 제어하는 전용 서버에 더 많은 세부 정보(Facebook 자격 증명, Facebook 이름, 장치 API, 장치 RAM, 장치 이름)를 보냅니다.

보안 솔루션이 자신의 존재를 감지하지 못하도록 숨기기 위해 이 위협 요소는 기본 라이브러리를 활용합니다. Schoolyard Bully는 동일한 기술을 사용하여 C&C 데이터를 'libabc.so'라는 기본 라이브러리로 저장합니다. 이 위협 요소는 또한 탐지에 대한 추가 메커니즘으로 모든 문자열을 인코딩합니다. 피해자의 자격 증명을 훔치기 위해 멀웨어는 WebView 내에서 합법적인 URL을 엽니다. 여기에서 악성 자바스크립트 삽입이 대상 사용자의 데이터를 추출합니다. 위협은 코드 주입을 수행하는 방법으로 'evaluateJavascript' 방법을 사용합니다.

트렌드

가장 많이 본

로드 중...