Threat Database Mobile Malware Schoolyard Bully Mobile Malware

Schoolyard Bully Mobile Malware

Cyberprzestępcy obierają za cel dane uwierzytelniające Facebooka niczego niepodejrzewających użytkowników Androida w ramach kampanii ataków, która trwa co najmniej od 2018 roku. Aktorzy atakujący używają nieznanego wcześniej mobilnego szkodliwego oprogramowania śledzonego jako Schoolyard Bully Trojan. Złośliwa kampania zdołała przechwycić urządzenia z Androidem ponad 300 000 użytkowników z 71 krajów. Jednak większość ofiar została zidentyfikowana jako zlokalizowana w Wietnamie. Zebrane dane są wysyłane do serwera Firebase C&C (Command and Control). Szczegóły dotyczące zagrożenia i kampanii ataków zostały ujawnione w raporcie ekspertów infosec z Zimperium zLabs.

Zagrożenie Schoolyard bully rozprzestrzenia się pod pozorem legalnych aplikacji. Złośliwe aplikacje udają narzędzia edukacyjne lub aplikacje, które zapewniają użytkownikom dostęp do szerokiej gamy książek z wielu różnych gatunków. Niektóre z tych uzbrojonych aplikacji były nawet w stanie tymczasowo ominąć zabezpieczenia oficjalnego sklepu Google Play i były dostępne do pobrania. Google usunął aplikacje Schoolyard Bully, ale użytkownicy nadal mogą zostać zainfekowani, jeśli pobiorą je z mniej bezpiecznego sklepu z aplikacjami lub platformy innej firmy.

Złośliwe możliwości

Schoolyard Bully został zaprojektowany specjalnie do kradzieży danych logowania do Facebooka swoich ofiar. Mówiąc dokładniej, trojan będzie próbował naruszyć adres e-mail, numer telefonu, hasło, identyfikator i prawdziwe imię ofiary. Dodatkowa szkodliwa funkcja wysyła jeszcze więcej szczegółów (dane logowania do Facebooka, nazwę na Facebooku, interfejs API urządzenia, pamięć RAM urządzenia, nazwę urządzenia) na dedykowany serwer kontrolowany przez osoby atakujące.

Aby ukryć swoją obecność przed wykryciem przez rozwiązania bezpieczeństwa, zagrożenie wykorzystuje natywne biblioteki. Schoolyard Bully używa tej samej techniki do przechowywania danych C&C, co natywna biblioteka o nazwie „libabc.so”. Zagrożenie koduje również wszystkie swoje ciągi jako dodatkowy mechanizm przed wykryciem. Aby ukraść dane uwierzytelniające ofiary, złośliwe oprogramowanie otwiera prawidłowy adres URL w WebView, skąd złośliwe wstrzyknięcie javascript wydobywa dane docelowego użytkownika. Zagrożenie wykorzystuje metodę „evaluateJavascript” jako sposób na wstrzyknięcie kodu.

Popularne

Najczęściej oglądane

Ładowanie...