Threat Database Mobile Malware Schoolyard Bully Mobile Malware

Schoolyard Bully Mobile Malware

Cybercriminelen hebben zich gericht op de Facebook-inloggegevens van nietsvermoedende Android-gebruikers als onderdeel van een aanvalscampagne die al sinds 2018 aan de gang is. De aanvallers gebruiken een voorheen onbekende mobiele malware die wordt gevolgd als Schoolyard Bully Trojan. De kwaadaardige campagne is erin geslaagd om de Android-apparaten van meer dan 300.000 gebruikers verspreid over 71 landen in gevaar te brengen. Van de meeste slachtoffers is echter vastgesteld dat ze zich in Vietnam bevinden. De verzamelde gegevens worden verzonden naar een Firebase C&C-server (Command and Control). Details over de dreiging en de aanvalscampagne werden onthuld in een rapport van de infosec-experts van Zimperium zLabs.

De pestdreiging van het schoolplein wordt verspreid onder het mom van ogenschijnlijk legitieme apps. De kwaadaardige applicaties doen zich voor als educatieve tools of apps die gebruikers toegang geven tot een breed scala aan boeken uit tal van verschillende genres. Sommige van deze bewapende apps konden zelfs tijdelijk de beveiligingsmaatregelen van de officiële Google Play Store omzeilen en konden worden gedownload. Google heeft de Schoolyard Bully-apps verwijderd, maar gebruikers kunnen nog steeds geïnfecteerd raken als ze deze downloaden van een minder veilige app store of platform van derden.

Schadelijke mogelijkheden

Schoolplein Bully is speciaal ontworpen om de Facebook-inloggegevens van zijn slachtoffers te stelen. Meer specifiek zal de trojan proberen om het e-mailadres, telefoonnummer, wachtwoord, ID en echte naam van de slachtoffers in gevaar te brengen. Een extra kwaadaardige functie zal nog meer details (Facebook-inloggegevens, Facebook-naam, apparaat-API, apparaat-RAM, apparaatnaam) naar een speciale server sturen die door de aanvallers wordt beheerd.

Om zijn aanwezigheid te verbergen voor beveiligingsoplossingen, maakt de dreiging gebruik van eigen bibliotheken. Schoolplein Bully gebruikt dezelfde techniek om zijn C&C-gegevens op te slaan als een eigen bibliotheek met de naam 'libabc.so.' De dreiging codeert ook al zijn strings als een extra mechanisme tegen detectie. Om de inloggegevens van het slachtoffer te stelen, opent de malware de legitieme URL in WebView, waar een kwaadaardige javascript-injectie de gegevens van de beoogde gebruiker zal extraheren. De dreiging gebruikt de methode 'evaluateJavascript' als een manier om de code-injectie uit te voeren.

Trending

Meest bekeken

Bezig met laden...