Threat Database Mobile Malware Schoolyard Bully Mobile Malware

Schoolyard Bully Mobile Malware

Nettkriminelle har vært rettet mot Facebook-legitimasjonen til intetanende Android-brukere som en del av en angrepskampanje som har pågått siden minst 2018. Trusselaktørene bruker en tidligere ukjent mobil malware sporet som Schoolyard Bully Trojan. Den ondsinnede kampanjen har klart å kompromittere Android-enhetene til mer enn 300 000 brukere spredt over 71 land. De fleste ofrene har imidlertid blitt identifisert for å være lokalisert i Vietnam. De innhentede dataene sendes til en Firebase C&C-server (Command and Control). Detaljer om trusselen og angrepskampanjen ble avduket i en rapport fra infosec-ekspertene ved Zimperium zLabs.

Mobbetrusselen fra Skolegården spres under dekke av tilsynelatende legitime apper. De ondsinnede applikasjonene fremstår som pedagogiske verktøy eller apper som gir brukere tilgang til et bredt spekter av bøker fra mange forskjellige sjangere. Noen av disse bevæpnede appene var til og med i stand til midlertidig å omgå sikkerhetsbeskyttelsen til den offisielle Google Play-butikken og være tilgjengelig for nedlasting. Google har fjernet Schoolyard Bully-appene, men brukere kan fortsatt bli smittet hvis de laster dem ned fra en mindre sikker tredjeparts appbutikk eller plattform.

Ondsinnede evner

Schoolyard Bully er designet spesielt for å stjele Facebook-legitimasjonen til ofrene. Mer spesifikt vil trojaneren prøve å kompromittere ofrenes e-post, telefonnummer, passord, ID og ekte navn. En ekstra ondsinnet funksjon vil sende enda flere detaljer (Facebook-legitimasjon, Facebook-navn, enhets-API, enhets-RAM, enhetsnavn) til en dedikert server kontrollert av angriperne.

For å skjule sin tilstedeværelse fra å bli plukket opp av sikkerhetsløsninger, bruker trusselen innfødte biblioteker. Schoolyard Bully bruker samme teknikk for å lagre sine C&C-data som et innfødt bibliotek kalt 'libabc.so.' Trusselen koder også for alle strengene som en ekstra mekanisme mot deteksjon. For å stjele offerets legitimasjon, åpner skadelig programvare den legitime URL-en i WebView, der en ondsinnet javascript-injeksjon vil trekke ut den målrettede brukerens data. Trusselen bruker 'evaluateJavascript'-metoden som en måte å utføre kodeinjeksjonen på.

Trender

Mest sett

Laster inn...