Threat Database Mobile Malware Schoolyard Bully Mobile Malware

Schoolyard Bully Mobile Malware

Criminalii cibernetici au vizat acreditările Facebook ale utilizatorilor Android nebănuiți, ca parte a unei campanii de atac care se desfășoară cel puțin din 2018. Actorii amenințărilor folosesc un malware mobil necunoscut anterior, urmărit ca troian Schoolyard Bully. Campania rău intenționată a reușit să compromită dispozitivele Android a peste 300.000 de utilizatori răspândiți în 71 de țări. Cu toate acestea, majoritatea victimelor au fost identificate ca fiind localizate în Vietnam. Datele culese sunt trimise la un server Firebase C&C (comandă și control). Detalii despre amenințare și campania de atac au fost dezvăluite într-un raport de experții infosec de la Zimperium zLabs.

Amenințarea bătăușului din școală este răspândită sub masca unor aplicații aparent legitime. Aplicațiile rău intenționate se prezintă ca instrumente educaționale sau aplicații care oferă utilizatorilor acces la o gamă largă de cărți din numeroase genuri diferite. Unele dintre aceste aplicații armate au putut chiar să ocolească temporar protecțiile de securitate ale magazinului oficial Google Play și să fie disponibile pentru descărcare. Google a eliminat aplicațiile Schoolyard Bully, dar utilizatorii s-ar putea infecta în continuare dacă le descarcă de pe un magazin de aplicații sau o platformă terță parte mai puțin sigură.

Capacități rău intenționate

Schoolyard Bully este conceput special pentru a fura acreditările Facebook ale victimelor sale. Mai precis, troianul va încerca să compromită adresa de e-mail, numărul de telefon, parola, ID-ul și numele real ale victimelor. O funcție suplimentară rău intenționată va trimite și mai multe detalii (acreditări Facebook, nume Facebook, API dispozitiv, RAM dispozitiv, nume dispozitiv) către un server dedicat controlat de atacatori.

Pentru a-și ascunde prezența pentru a nu fi preluată de soluțiile de securitate, amenințarea utilizează biblioteci native. Schoolyard Bully folosește aceeași tehnică pentru a-și stoca datele C&C ca o bibliotecă nativă numită „libabc.so”. De asemenea, amenințarea codifică toate șirurile sale ca un mecanism suplimentar împotriva detectării. Pentru a fura acreditările victimei, malware-ul deschide adresa URL legitimă în WebView, unde o injecție javascript rău intenționată va extrage datele utilizatorului vizat. Amenințarea folosește metoda „evaluateJavascript” ca modalitate de a efectua injectarea codului.

Trending

Cele mai văzute

Se încarcă...