Threat Database Mobile Malware Schoolyard Bully Mobile Malware

Schoolyard Bully Mobile Malware

Kyberzločinci sa zameriavajú na prihlasovacie údaje nič netušiacich používateľov systému Android na Facebooku v rámci útočnej kampane, ktorá prebieha minimálne od roku 2018. Aktéri hrozieb používajú predtým neznámy mobilný malvér sledovaný ako trójsky kôň Schoolyard Bully. Škodlivej kampani sa podarilo kompromitovať zariadenia so systémom Android viac ako 300 000 používateľov v 71 krajinách. Väčšina obetí sa však nachádza vo Vietname. Zozbierané údaje sa odošlú na server Firebase C&C (Command and Control). Podrobnosti o hrozbe a útočnej kampani odhalili v správe experti infosec zo Zimperium zLabs.

Hrozba šikanovania Schoolyard sa šíri pod rúškom zdanlivo legitímnych aplikácií. Škodlivé aplikácie predstavujú vzdelávacie nástroje alebo aplikácie, ktoré používateľom poskytujú prístup k širokej škále kníh z mnohých rôznych žánrov. Niektoré z týchto aplikácií so zbraňami boli dokonca schopné dočasne obísť bezpečnostnú ochranu oficiálneho obchodu Google Play a byť k dispozícii na stiahnutie. Google odstránil aplikácie Schoolyard Bully, no používatelia sa môžu stále nakaziť, ak si ich stiahnu z menej bezpečného obchodu s aplikáciami alebo platformy tretích strán.

Škodlivé schopnosti

Schoolyard Bully je špeciálne navrhnutý tak, aby ukradol poverenia na Facebooku svojich obetí. Presnejšie povedané, trójsky kôň sa pokúsi kompromitovať e-mail, telefónne číslo, heslo, ID a skutočné meno obete. Ďalšia škodlivá funkcia odošle ešte viac podrobností (prihlasovacie údaje k Facebooku, názov Facebooku, API zariadenia, RAM zariadenia, názov zariadenia) na dedikovaný server kontrolovaný útočníkmi.

Aby hrozba skryla svoju prítomnosť pred zachytením bezpečnostnými riešeniami, využíva natívne knižnice. Schoolyard Bully používa rovnakú techniku na ukladanie údajov C&C ako natívna knižnica s názvom „libabc.so“. Hrozba tiež zakóduje všetky svoje reťazce ako ďalší mechanizmus proti detekcii. Aby malvér ukradol prihlasovacie údaje obete, otvorí legitímnu adresu URL v rámci WebView, kde škodlivý javascript extrahuje údaje cieľového používateľa. Hrozba používa metódu „evaluateJavascript“ ako spôsob vloženia kódu.

Trendy

Najviac videné

Načítava...