Threat Database Mobile Malware Schoolyard Bully Mobile Malware

Schoolyard Bully Mobile Malware

Penjenayah siber telah menyasarkan bukti kelayakan Facebook pengguna Android yang tidak curiga sebagai sebahagian daripada kempen serangan yang telah berlangsung sejak sekurang-kurangnya 2018. Pelakon ancaman menggunakan perisian hasad mudah alih yang sebelum ini tidak diketahui yang dijejaki sebagai Schoolyard Bully Trojan. Kempen berniat jahat itu telah berjaya menjejaskan peranti Android lebih daripada 300, 000 pengguna yang tersebar di 71 negara. Kebanyakan mangsa, bagaimanapun, telah dikenal pasti berada di Vietnam. Data yang dituai dihantar ke pelayan Firebase C&C (Perintah dan Kawalan). Butiran tentang ancaman dan kempen serangan telah diumumkan dalam laporan oleh pakar infosec di Zimperium zLabs.

Ancaman pembuli Schoolyard tersebar di bawah samaran apl yang kelihatan sah. Aplikasi berniat jahat menyamar sebagai alat atau apl pendidikan yang memberikan pengguna akses kepada pelbagai jenis buku daripada pelbagai genre yang berbeza. Sesetengah apl bersenjata ini malah dapat memintas perlindungan keselamatan Gedung Google Play rasmi buat sementara waktu dan tersedia untuk dimuat turun. Google telah mengalih keluar apl Schoolyard Bully, tetapi pengguna masih boleh dijangkiti jika mereka memuat turun apl tersebut daripada gedung atau platform apl pihak ketiga yang kurang selamat.

Keupayaan Hasad

Schoolyard Bully direka khusus untuk mencuri bukti kelayakan Facebook mangsanya. Lebih khusus lagi, Trojan akan cuba menjejaskan e-mel, nombor telefon, kata laluan, ID dan nama sebenar mangsa. Fungsi hasad tambahan akan menghantar lebih banyak butiran (bukti kelayakan Facebook, nama Facebook, API peranti, RAM peranti, nama peranti) kepada pelayan khusus yang dikawal oleh penyerang.

Untuk menyembunyikan kehadirannya daripada diambil oleh penyelesaian keselamatan, ancaman itu menggunakan perpustakaan asli. Schoolyard Bully menggunakan teknik yang sama untuk menyimpan data C&Cnya sebagai perpustakaan asli bernama 'libabc.so.' Ancaman itu juga mengekod semua rentetannya sebagai mekanisme tambahan terhadap pengesanan. Untuk mencuri bukti kelayakan mangsa, perisian hasad membuka URL yang sah dalam WebView, yang mana suntikan javascript berniat jahat akan mengekstrak data pengguna yang disasarkan. Ancaman menggunakan kaedah 'evaluateJavascript' sebagai cara untuk menjalankan suntikan kod.

Trending

Paling banyak dilihat

Memuatkan...