Threat Database Mobile Malware Schoolyard Bully Mobile Malware

Schoolyard Bully Mobile Malware

குறைந்தது 2018 ஆம் ஆண்டு முதல் நடந்து வரும் தாக்குதல் பிரச்சாரத்தின் ஒரு பகுதியாக, சந்தேகத்திற்கு இடமில்லாத ஆண்ட்ராய்டு பயனர்களின் பேஸ்புக் நற்சான்றிதழ்களை சைபர் கிரைமினல்கள் குறிவைத்து வருகின்றனர். ஸ்கூல்யார்ட் புல்லி ட்ரோஜன் என கண்காணிக்கப்படும் முன்னர் அறியப்படாத மொபைல் மால்வேரை அச்சுறுத்தும் நடிகர்கள் பயன்படுத்துகின்றனர். தீங்கிழைக்கும் பிரச்சாரம் 71 நாடுகளில் பரவியுள்ள 300,000க்கும் மேற்பட்ட பயனர்களின் Android சாதனங்களை சமரசம் செய்ய முடிந்தது. எவ்வாறாயினும், பெரும்பாலான பாதிக்கப்பட்டவர்கள் வியட்நாமில் இருப்பதாக அடையாளம் காணப்பட்டுள்ளனர். அறுவடை செய்யப்பட்ட தரவு Firebase C&C (கட்டளை மற்றும் கட்டுப்பாடு) சேவையகத்திற்கு அனுப்பப்படும். அச்சுறுத்தல் மற்றும் தாக்குதல் பிரச்சாரம் பற்றிய விவரங்கள் Zimperium zLabs இன் இன்ஃபோசெக் நிபுணர்களால் அறிக்கை வெளியிடப்பட்டது.

ஸ்கூல்யார்ட் புல்லி அச்சுறுத்தல் சட்டபூர்வமான பயன்பாடுகள் என்ற போர்வையில் பரவுகிறது. தீங்கிழைக்கும் பயன்பாடுகள் கல்வி கருவிகள் அல்லது பயன்பாடுகள் என பல்வேறு வகைகளில் இருந்து பரந்த அளவிலான புத்தகங்களுக்கான அணுகலை பயனர்களுக்கு வழங்குகிறது. இந்த ஆயுதப் பயன்பாடுகளில் சில, அதிகாரப்பூர்வ கூகுள் ப்ளே ஸ்டோரின் பாதுகாப்புப் பாதுகாப்பைத் தற்காலிகமாகத் தவிர்த்து, பதிவிறக்கம் செய்யக் கூடும். கூகிள் ஸ்கூல்யார்ட் புல்லி பயன்பாடுகளை அகற்றியுள்ளது, ஆனால் பயனர்கள் அவற்றை குறைவான பாதுகாப்பான மூன்றாம் தரப்பு ஆப் ஸ்டோர் அல்லது பிளாட்ஃபார்மில் இருந்து பதிவிறக்கம் செய்தால் தொற்று ஏற்படலாம்.

தீங்கிழைக்கும் திறன்கள்

ஸ்கூல்யார்ட் புல்லி குறிப்பாக பாதிக்கப்பட்டவர்களின் பேஸ்புக் நற்சான்றிதழ்களைத் திருட வடிவமைக்கப்பட்டுள்ளது. மேலும் குறிப்பாக, ட்ரோஜன் பாதிக்கப்பட்டவர்களின் மின்னஞ்சல், தொலைபேசி எண், கடவுச்சொல், ஐடி மற்றும் உண்மையான பெயரை சமரசம் செய்ய முயற்சிக்கும். கூடுதல் தீங்கிழைக்கும் செயல்பாடு, தாக்குபவர்களால் கட்டுப்படுத்தப்படும் பிரத்யேக சேவையகத்திற்கு இன்னும் கூடுதலான விவரங்களை (பேஸ்புக் நற்சான்றிதழ்கள், பேஸ்புக் பெயர், சாதன API, சாதன ரேம், சாதனத்தின் பெயர்) அனுப்பும்.

பாதுகாப்பு தீர்வுகள் மூலம் அதன் இருப்பை மறைக்க, அச்சுறுத்தல் சொந்த நூலகங்களைப் பயன்படுத்துகிறது. ஸ்கூல்யார்ட் புல்லி தனது C&C தரவை 'libabc.so.' என பெயரிடப்பட்ட சொந்த நூலகமாக சேமிக்க அதே நுட்பத்தைப் பயன்படுத்துகிறார். அச்சுறுத்தல் அதன் அனைத்து சரங்களையும் கண்டறிதலுக்கு எதிரான கூடுதல் பொறிமுறையாக குறியாக்குகிறது. பாதிக்கப்பட்டவரின் நற்சான்றிதழ்களைத் திருட, தீம்பொருள் WebView க்குள் முறையான URL ஐத் திறக்கிறது, அங்கு தீங்கிழைக்கும் ஜாவாஸ்கிரிப்ட் ஊசி இலக்கு பயனரின் தரவைப் பிரித்தெடுக்கும். அச்சுறுத்தல் குறியீடு உட்செலுத்தலை மேற்கொள்ள 'evaluateJavascript' முறையைப் பயன்படுத்துகிறது.

டிரெண்டிங்

அதிகம் பார்க்கப்பட்டது

ஏற்றுகிறது...