Threat Database Mobile Malware Schoolyard Bully Mobile Malware

Schoolyard Bully Mobile Malware

Киберпреступники нацелены на учетные данные Facebook ничего не подозревающих пользователей Android в рамках кампании атак, которая продолжается как минимум с 2018 года. Злоумышленники используют ранее неизвестное мобильное вредоносное ПО, отслеживаемое как Schoolyard Bully Trojan. Вредоносной кампании удалось скомпрометировать устройства Android более чем 300 000 пользователей в 71 стране. Однако установлено, что большинство жертв находятся во Вьетнаме. Собранные данные отправляются на сервер Firebase C&C (Command and Control). Подробности об угрозе и кампании атаки были раскрыты в отчете экспертов по информационной безопасности Zimperium zLabs.

Угроза хулигана на школьном дворе распространяется под видом, казалось бы, законных приложений. Вредоносные приложения выдают себя за образовательные инструменты или приложения, которые предоставляют пользователям доступ к широкому спектру книг самых разных жанров. Некоторые из этих вооруженных приложений даже смогли временно обойти защиту официального магазина Google Play и были доступны для загрузки. Google удалил приложения Schoolyard Bully, но пользователи по-прежнему могут заразиться, если загрузят их из менее безопасного стороннего магазина приложений или платформы.

Вредоносные возможности

Schoolyard Bully разработан специально для кражи учетных данных Facebook своих жертв. В частности, троянец попытается скомпрометировать адрес электронной почты, номер телефона, пароль, идентификатор и настоящее имя жертвы. Дополнительная вредоносная функция будет отправлять еще больше деталей (учетные данные Facebook, имя Facebook, API устройства, оперативную память устройства, имя устройства) на выделенный сервер, контролируемый злоумышленниками.

Чтобы скрыть свое присутствие от средств безопасности, угроза использует собственные библиотеки. Schoolyard Bully использует ту же технику для хранения своих данных C&C, что и собственная библиотека с именем libabc.so. Угроза также кодирует все свои строки в качестве дополнительного механизма защиты от обнаружения. Чтобы украсть учетные данные жертвы, вредоносное ПО открывает законный URL-адрес в WebView, где вредоносная инъекция javascript извлекает данные целевого пользователя. Угроза использует метод «evaluateJavascript» для внедрения кода.

В тренде

Наиболее просматриваемые

Загрузка...