Threat Database Mobile Malware Schoolyard Bully Mobile Malware

Schoolyard Bully Mobile Malware

Cyberkriminella har riktat in sig på Facebook-uppgifterna för intet ont anande Android-användare som en del av en attackkampanj som har pågått sedan åtminstone 2018. Hotaktörerna använder en tidigare okänd mobil skadlig kod som spåras som Schoolyard Bully Trojan. Den skadliga kampanjen har lyckats äventyra Android-enheterna för mer än 300 000 användare spridda över 71 länder. De flesta offren har dock identifierats i Vietnam. Den insamlade informationen skickas till en Firebase C&C-server (Command and Control). Detaljer om hotet och attackkampanjen avslöjades i en rapport från infosec-experterna på Zimperium zLabs.

Hotet från skolgården sprids under sken av till synes legitima appar. De skadliga applikationerna poserar som utbildningsverktyg eller appar som ger användarna tillgång till ett brett utbud av böcker från många olika genrer. Vissa av dessa beväpnade appar kunde till och med tillfälligt kringgå säkerhetsskydden i den officiella Google Play Butik och vara tillgängliga för nedladdning. Google har tagit bort Schoolyard Bully-apparna, men användare kan fortfarande bli smittade om de laddar ner dem från en mindre säker tredjepartsappbutik eller plattform.

Skadliga funktioner

Schoolyard Bully är utformad speciellt för att stjäla Facebook-uppgifterna från sina offer. Mer specifikt kommer trojanen att försöka äventyra offrens e-post, telefonnummer, lösenord, ID och riktiga namn. En ytterligare skadlig funktion kommer att skicka ännu mer information (Facebook-uppgifter, Facebook-namn, enhets-API, enhets-RAM, enhetsnamn) till en dedikerad server som kontrolleras av angriparna.

För att dölja sin närvaro från att fångas upp av säkerhetslösningar använder hotet inbyggda bibliotek. Schoolyard Bully använder samma teknik för att lagra sina C&C-data som ett inbyggt bibliotek som heter 'libabc.so'. Hotet kodar också alla dess strängar som en ytterligare mekanism mot upptäckt. För att stjäla offrets referenser öppnar skadlig programvara den legitima URL:en i WebView, där en skadlig Javascript-injektion kommer att extrahera den riktade användarens data. Hotet använder metoden 'evaluateJavascript' som ett sätt att utföra kodinjektionen.

Trendigt

Mest sedda

Läser in...