Threat Database Mobile Malware Schoolyard Bully Mobile Malware

Schoolyard Bully Mobile Malware

Kriminelët kibernetikë kanë synuar kredencialet e Facebook-ut të përdoruesve të padyshimtë të Android si pjesë e një fushate sulmi që ka vazhduar të paktën që nga viti 2018. Aktorët e kërcënimit po përdorin një malware celular të panjohur më parë të gjurmuar si Schoolyard Bully Trojan. Fushata me qëllim të keq ka arritur të komprometojë pajisjet Android të më shumë se 300,000 përdoruesve të shpërndarë në 71 vende. Megjithatë, shumica e viktimave janë identifikuar se ndodhen në Vietnam. Të dhënat e grumbulluara dërgohen në një server Firebase C&C (Command and Control). Detajet rreth kërcënimit dhe fushatës së sulmit u zbuluan në një raport nga ekspertët e infosec në Zimperium zLabs.

Kërcënimi ngacmues i Schoolyard përhapet nën maskën e aplikacioneve në dukje legjitime. Aplikacionet keqdashëse paraqiten si mjete edukative ose aplikacione që u ofrojnë përdoruesve akses në një gamë të gjerë librash nga zhanre të ndryshme. Disa nga këto aplikacione të armatosura madje ishin në gjendje të anashkalonin përkohësisht mbrojtjen e sigurisë të Dyqanit zyrtar të Google Play dhe të ishin të disponueshëm për shkarkim. Google ka hequr aplikacionet Schoolyard Bully, por përdoruesit ende mund të infektohen nëse i shkarkojnë ato nga një dyqan apo platformë aplikacionesh më pak të sigurta të palëve të treta.

Aftësitë me qëllim të keq

Schoolyard Bully është krijuar posaçërisht për të vjedhur kredencialet në Facebook të viktimave të tij. Më konkretisht, Trojani do të përpiqet të komprometojë emailin, numrin e telefonit, fjalëkalimin, ID-në dhe emrin e vërtetë të viktimave. Një funksion shtesë me qëllim të keq do të dërgojë edhe më shumë detaje (kredencialet e Facebook, emri i Facebook, API i pajisjes, RAM-i i pajisjes, emri i pajisjes) në një server të dedikuar të kontrolluar nga sulmuesit.

Për të fshehur praninë e tij që të mos kapet nga zgjidhjet e sigurisë, kërcënimi përdor bibliotekat vendase. Schoolyard Bully përdor të njëjtën teknikë për të ruajtur të dhënat e tij C&C si një bibliotekë vendase e quajtur 'libabc.so'. Kërcënimi gjithashtu kodon të gjitha vargjet e tij si një mekanizëm shtesë kundër zbulimit. Për të vjedhur kredencialet e viktimës, malware hap URL-në legjitime brenda WebView, ku një injeksion me qëllim të keq javascript do të nxjerrë të dhënat e përdoruesit të synuar. Kërcënimi përdor metodën 'evaluateJavascript' si një mënyrë për të kryer injektimin e kodit.

Në trend

Më e shikuara

Po ngarkohet...