Threat Database Mobile Malware Malware para dispositivos móveis Schoolyard Bully

Malware para dispositivos móveis Schoolyard Bully

Os cibercriminosos têm como alvo as credenciais do Facebook de usuários desavisados do Android como parte de uma campanha de ataque que ocorre desde pelo menos 2018. Os agentes da ameaça estão usando um malware móvel anteriormente desconhecido rastreado como Schoolyard Bully Trojan. A campanha maliciosa conseguiu comprometer os dispositivos Android de mais de 300.000 usuários espalhados por 71 países. A maioria das vítimas, no entanto, foi identificada como localizada no Vietnã. Os dados coletados são enviados para um servidor Firebase C&C (Comando e Controle). Detalhes sobre a ameaça e a campanha de ataque foram revelados em um relatório dos especialistas em infosec do Zimperium zLabs.

A ameaça do valentão do Schoolyard se espalha sob o disfarce de aplicativos aparentemente legítimos. Os aplicativos maliciosos se apresentam como ferramentas ou aplicativos educacionais que fornecem aos usuários acesso a uma ampla variedade de livros de vários gêneros diferentes. Alguns desses aplicativos armados foram capazes de ignorar temporariamente as proteções de segurança da Google Play Store oficial e estar disponíveis para download. O Google removeu os aplicativos Schoolyard Bully, mas os usuários ainda podem ser infectados se os baixarem de uma loja ou plataforma de aplicativos de terceiros menos segura.

Capacidades Maliciosas

O Schoolyard Bully foi projetado especificamente para roubar as credenciais do Facebook de suas vítimas. Mais especificamente, o Trojan tentará comprometer o e-mail, número de telefone, senha, ID e nome real das vítimas. Uma função maliciosa adicional enviará ainda mais detalhes (credenciais do Facebook, nome do Facebook, API do dispositivo, RAM do dispositivo, nome do dispositivo) para um servidor dedicado controlado pelos invasores.

Para ocultar sua presença de ser detectado por soluções de segurança, a ameaça utiliza bibliotecas nativas. O Schoolyard Bully usa a mesma técnica para armazenar seus dados C&C como uma biblioteca nativa chamada 'libabc.so'. A ameaça também codifica todas as suas strings como um mecanismo adicional contra a detecção. Para roubar as credenciais da vítima, o malware abre a URL legítima no WebView, onde uma injeção de javascript maliciosa extrai os dados do usuário visado. A ameaça usa o método 'evaluateJavascript' como forma de realizar a injeção de código.

Tendendo

Mais visto

Carregando...