Threat Database Mobile Malware Schoolyard Bully Mobile Malware

Schoolyard Bully Mobile Malware

Сајбер-криминалци циљају на акредитиве Фацебоок-а несуђених корисника Андроид-а у склопу кампање напада која траје најмање од 2018. Актери претњи користе раније непознати малвер за мобилне уређаје праћен као Сцхоолиард Булли Тројан. Злонамерна кампања је успела да угрози Андроид уређаје више од 300.000 корисника у 71 земљи. Међутим, утврђено је да се већина жртава налази у Вијетнаму. Сакупљени подаци се шаљу на Фиребасе Ц&Ц (Цомманд анд Цонтрол) сервер. Детаљи о претњи и кампањи напада откривени су у извештају стручњака за инфосец у Зимпериум зЛабс.

Претња злостављањем у Школском дворишту шири се под маском наизглед легитимних апликација. Злонамерне апликације представљају образовне алатке или апликације које корисницима пружају приступ широком спектру књига из бројних различитих жанрова. Неке од ових наоружаних апликација су чак биле у стању да привремено заобиђу безбедносну заштиту званичне Гоогле Плаи продавнице и буду доступне за преузимање. Гоогле је уклонио апликације Сцхоолиард Булли, али корисници би се и даље могли заразити ако их преузму из мање безбедне продавнице апликација или платформе треће стране.

Злонамерне могућности

Сцхоолиард Булли је посебно дизајниран да украде Фацебоок акредитиве својих жртава. Тачније, тројанац ће покушати да компромитује е-пошту, број телефона, лозинку, ИД и право име жртве. Додатна злонамерна функција ће послати још више детаља (Фацебоок акредитиве, Фацебоок име, АПИ уређаја, РАМ уређаја, назив уређаја) наменском серверу који контролишу нападачи.

Да би сакрила своје присуство од откривања безбедносних решења, претња користи изворне библиотеке. Сцхоолиард Булли користи исту технику за складиштење својих Ц&Ц података као изворна библиотека под називом „либабц.со“. Претња такође кодира све своје низове као додатни механизам против откривања. Да би украо акредитиве жртве, малвер отвара легитимни УРЛ у оквиру ВебВиев-а, где ће злонамерна јавасцрипт ињекција издвојити податке циљаног корисника. Претња користи метод 'евалуатеЈавасцрипт' као начин да изврши убацивање кода.

У тренду

Најгледанији

Учитавање...