Threat Database Mobile Malware Schoolyard Bully Mobile Malware

Schoolyard Bully Mobile Malware

Tina-target ng mga cybercriminal ang mga kredensyal sa Facebook ng mga hindi pinaghihinalaang gumagamit ng Android bilang bahagi ng isang kampanya sa pag-atake na nagpapatuloy mula noong hindi bababa sa 2018. Gumagamit ang mga aktor ng pagbabanta ng isang dating hindi kilalang mobile malware na sinusubaybayan bilang Schoolyard Bully Trojan. Nagawa ng nakakahamak na kampanya na ikompromiso ang mga Android device ng higit sa 300, 000 user na kumalat sa 71 bansa. Karamihan sa mga biktima, gayunpaman, ay natukoy na matatagpuan sa Vietnam. Ang na-harvest na data ay ipinapadala sa isang Firebase C&C (Command and Control) server. Ang mga detalye tungkol sa banta at ang kampanya sa pag-atake ay inihayag sa ulat ng mga eksperto sa infosec sa Zimperium zLabs.

Ang banta ng bully ng Schoolyard ay kumakalat sa ilalim ng pagkukunwari ng mga mukhang lehitimong app. Ang mga nakakahamak na application ay nagpapanggap bilang mga tool na pang-edukasyon o app na nagbibigay sa mga user ng access sa isang malawak na hanay ng mga aklat mula sa maraming iba't ibang genre. Ang ilan sa mga naka-armas na app na ito ay nagawang pansamantalang i-bypass ang mga proteksyon sa seguridad ng opisyal na Google Play Store at maging available para sa pag-download. Inalis ng Google ang mga app ng Schoolyard Bully, ngunit maaari pa ring mahawa ang mga user kung ida-download nila ang mga ito mula sa isang hindi gaanong ligtas na third-party na app store o platform.

Mga Nakakahamak na Kakayahan

Ang Schoolyard Bully ay partikular na idinisenyo upang nakawin ang mga kredensyal sa Facebook ng mga biktima nito. Higit na partikular, susubukan ng Trojan na ikompromiso ang email, numero ng telepono, password, ID, at tunay na pangalan ng mga biktima. Ang isang karagdagang nakakahamak na function ay magpapadala ng higit pang mga detalye (mga kredensyal sa Facebook, pangalan sa Facebook, API ng device, RAM ng device, pangalan ng device) sa isang nakatuong server na kinokontrol ng mga umaatake.

Upang itago ang presensya nito mula sa pagkuha ng mga solusyon sa seguridad, ang banta ay gumagamit ng mga katutubong aklatan. Ginagamit ng Schoolyard Bully ang parehong pamamaraan upang iimbak ang data ng C&C nito bilang isang katutubong aklatan na pinangalanang 'libabc.so.' Ini-encode din ng banta ang lahat ng string nito bilang karagdagang mekanismo laban sa pagtuklas. Upang nakawin ang mga kredensyal ng biktima, binubuksan ng malware ang lehitimong URL sa loob ng WebView, kung saan kukunin ng nakakahamak na javascript injection ang data ng target na user. Ang banta ay gumagamit ng 'evaluateJavascript' na paraan bilang isang paraan upang maisagawa ang code injection.

Trending

Pinaka Nanood

Naglo-load...