Threat Database Mobile Malware Schoolyard Bully Mobile Malware

Schoolyard Bully Mobile Malware

Kibernetski kriminalci ciljajo na poverilnice Facebooka nič hudega slutečih uporabnikov Androida kot del napadalne kampanje, ki poteka vsaj od leta 2018. Akterji groženj uporabljajo prej neznano mobilno zlonamerno programsko opremo, ki jo spremljajo kot trojanca Schoolyard Bully. Zlonamerna kampanja je uspela ogroziti naprave Android več kot 300.000 uporabnikov v 71 državah. Za večino žrtev pa je bilo ugotovljeno, da se nahajajo v Vietnamu. Zbrani podatki se pošljejo strežniku Firebase C&C (ukaz in nadzor). Podrobnosti o grožnji in kampanji napada so v poročilu razkrili strokovnjaki za infosec pri Zimperium zLabs.

Grožnja Schoolyard bully se širi pod krinko na videz legitimnih aplikacij. Zlonamerne aplikacije predstavljajo izobraževalna orodja ali aplikacije, ki uporabnikom omogočajo dostop do široke palete knjig iz številnih različnih žanrov. Nekatere od teh oboroženih aplikacij so lahko celo začasno obšle varnostne zaščite uradne trgovine Google Play in so bile na voljo za prenos. Google je odstranil aplikacije Schoolyard Bully, vendar se lahko uporabniki še vedno okužijo, če jih prenesejo iz manj varne trgovine z aplikacijami ali platforme tretjih oseb.

Zlonamerne zmogljivosti

Schoolyard Bully je zasnovan posebej za krajo Facebook poverilnic svojih žrtev. Natančneje, trojanec bo poskušal ogroziti e-pošto, telefonsko številko, geslo, ID in pravo ime žrtve. Dodatna zlonamerna funkcija bo poslala še več podrobnosti (poverilnice za Facebook, ime za Facebook, API naprave, RAM naprave, ime naprave) na namenski strežnik, ki ga nadzirajo napadalci.

Da bi svojo prisotnost skrila pred varnostnimi rešitvami, grožnja uporablja izvorne knjižnice. Schoolyard Bully uporablja isto tehniko za shranjevanje svojih C&C podatkov kot domača knjižnica z imenom 'libabc.so'. Grožnja tudi kodira vse svoje nize kot dodaten mehanizem proti odkrivanju. Da bi ukradla poverilnice žrtve, zlonamerna programska oprema odpre zakonit URL v WebViewu, kjer bo zlonamerna injekcija javascripta izvlekla podatke ciljnega uporabnika. Grožnja uporablja metodo 'evaluateJavascript' kot način za izvedbo vbrizgavanja kode.

V trendu

Najbolj gledan

Nalaganje...