Threat Database Mobile Malware Schoolyard Bully Mobile Malware

Schoolyard Bully Mobile Malware

Kibernetiniai nusikaltėliai taikėsi į „Facebook“ neįtariančių „Android“ naudotojų kredencialus vykdydami atakos kampaniją, kuri tęsiasi mažiausiai nuo 2018 m. Grėsmių aktoriai naudoja anksčiau nežinomą mobiliąją kenkėjišką programą, sektą kaip „Schoolyard Bully Trojan“. Kenkėjiška kampanija sugebėjo pažeisti daugiau nei 300 000 vartotojų „Android“ įrenginius 71 šalyje. Tačiau nustatyta, kad dauguma aukų yra Vietname. Surinkti duomenys siunčiami į Firebase C&C (komandų ir valdymo) serverį. Išsamią informaciją apie grėsmę ir atakos kampaniją atskleidė Zimperium zLabs infosec ekspertai.

„Schoolyard“ patyčių grėsmė skleidžiama prisidengiant iš pažiūros teisėtomis programėlėmis. Kenkėjiškos programos yra mokomosios priemonės arba programos, suteikiančios vartotojams prieigą prie įvairių knygų iš įvairių žanrų. Kai kurios iš šių ginkluotų programų netgi galėjo laikinai apeiti oficialios „Google Play“ parduotuvės saugos priemones ir jas buvo galima atsisiųsti. „Google“ pašalino „Schoolyard Bully“ programas, tačiau vartotojai vis tiek gali užsikrėsti, jei jas atsisiųs iš ne tokios saugios trečiosios šalies programų parduotuvės ar platformos.

Kenkėjiškos galimybės

„Schoolyard Bully“ sukurta specialiai tam, kad pavogtų savo aukų „Facebook“ kredencialus. Tiksliau, Trojos arklys bandys sukompromituoti aukų el. pašto adresą, telefono numerį, slaptažodį, ID ir tikrąjį vardą. Papildoma kenkėjiška funkcija išsiųs dar daugiau informacijos (Facebook kredencialus, Facebook pavadinimą, įrenginio API, įrenginio RAM, įrenginio pavadinimą) į užpuolikų valdomą dedikuotą serverį.

Norėdami paslėpti savo buvimą nuo saugos sprendimų, grėsmė naudoja vietines bibliotekas. „Schoolyard Bully“ naudoja tą pačią techniką C&C duomenims saugoti kaip vietinę biblioteką, pavadintą „libabc.so“. Grėsmė taip pat užkoduoja visas savo eilutes kaip papildomą mechanizmą nuo aptikimo. Kad pavogtų aukos kredencialus, kenkėjiška programa atidaro teisėtą URL „WebView“, kur kenkėjiška „JavaScript“ injekcija išskirs tikslinio vartotojo duomenis. Grėsmė naudoja „evaluateJavascript“ metodą kaip kodo įterpimo būdą.

Tendencijos

Labiausiai žiūrima

Įkeliama...