Threat Database Mobile Malware Schoolyard Bully Mobile Malware

Schoolyard Bully Mobile Malware

Kibernoziedznieki ir vērsušies pret nenojaušo Android lietotāju Facebook akreditācijas datiem uzbrukuma kampaņas ietvaros, kas notiek vismaz kopš 2018. gada. Apdraudējuma dalībnieki izmanto iepriekš nezināmu mobilo ļaunprogrammatūru, kas izsekota kā Schoolyard Bully Trojan. Ļaunprātīgajai kampaņai ir izdevies apdraudēt Android ierīces vairāk nekā 300 000 lietotāju 71 valstī. Tomēr ir noskaidrots, ka lielākā daļa upuru atrodas Vjetnamā. Iegūtie dati tiek nosūtīti uz Firebase C&C (Command and Control) serveri. Sīkāka informācija par draudiem un uzbrukuma kampaņu tika atklāta Zimperium zLabs infosec ekspertu ziņojumā.

Schoolyard iebiedēšanas draudi tiek izplatīti šķietami likumīgu lietotņu aizsegā. Ļaunprātīgās lietojumprogrammas ir izglītojoši rīki vai lietotnes, kas lietotājiem nodrošina piekļuvi plašam grāmatu klāstam no daudziem dažādiem žanriem. Dažas no šīm ieroču lietotnēm pat varēja īslaicīgi apiet oficiālā Google Play veikala drošības aizsardzību un būt pieejamas lejupielādei. Google ir noņēmis lietotnes Schoolyard Bully, taču lietotāji joprojām var inficēties, lejupielādējot tās no mazāk droša trešās puses lietotņu veikala vai platformas.

Ļaunprātīgas iespējas

Schoolyard Bully ir īpaši izstrādāts, lai nozagtu tā upuru Facebook akreditācijas datus. Konkrētāk, Trojas zirgs mēģinās apdraudēt upuru e-pastu, tālruņa numuru, paroli, ID un īsto vārdu. Papildu ļaunprātīga funkcija nosūtīs vēl vairāk informācijas (Facebook akreditācijas datus, Facebook nosaukumu, ierīces API, ierīces RAM, ierīces nosaukumu) uz speciālu serveri, kuru kontrolē uzbrucēji.

Lai slēptu savu klātbūtni no drošības risinājumiem, draudi izmanto vietējās bibliotēkas. Schoolyard Bully izmanto to pašu paņēmienu, lai saglabātu savus C&C datus kā vietējo bibliotēku ar nosaukumu “libabc.so”. Draudi arī kodē visas savas virknes kā papildu mehānismu pret atklāšanu. Lai nozagtu upura akreditācijas datus, ļaunprogrammatūra WebView atver likumīgo URL, kur ļaunprātīga JavaScript injekcija izgūs mērķa lietotāja datus. Draudi izmanto 'evaluateJavascript' metodi, lai veiktu koda ievadīšanu.

Tendences

Visvairāk skatīts

Notiek ielāde...