Threat Database Mobile Malware Schoolyard Bully Mobile Malware

Schoolyard Bully Mobile Malware

Siber suçlular, en az 2018'den beri devam eden bir saldırı kampanyasının parçası olarak, şüphelenmeyen Android kullanıcılarının Facebook kimlik bilgilerini hedefliyor. Tehdit aktörleri, Schoolyard Bully Truva Atı olarak izlenen, daha önce bilinmeyen bir mobil kötü amaçlı yazılım kullanıyor. Kötü amaçlı kampanya, 71 ülkeye yayılmış 300.000'den fazla kullanıcının Android cihazlarını ele geçirmeyi başardı. Ancak kurbanların çoğunun Vietnam'da olduğu tespit edildi. Toplanan veriler bir Firebase C&C (Komuta ve Kontrol) sunucusuna gönderilir. Tehdit ve saldırı kampanyasıyla ilgili ayrıntılar, Zimperium zLabs'teki bilgi güvenliği uzmanları tarafından hazırlanan bir raporda açıklandı.

Schoolyard zorba tehdidi, görünüşte meşru uygulamalar kisvesi altında yayılır. Kötü amaçlı uygulamalar, kullanıcıların çok sayıda farklı türden çok çeşitli kitaplara erişmesini sağlayan eğitim araçları veya uygulamaları olarak görünür. Hatta bu silah haline getirilmiş uygulamalardan bazıları, resmi Google Play Store'un güvenlik korumalarını geçici olarak atlayabildi ve indirilebilir hale geldi. Google, Schoolyard Bully uygulamalarını kaldırdı, ancak kullanıcılar bu uygulamaları daha az güvenli bir üçüncü taraf uygulama mağazasından veya platformundan indirirlerse yine de virüs bulaşabilir.

Kötü Amaçlı Yetenekler

Schoolyard Bully, kurbanlarının Facebook kimlik bilgilerini çalmak için özel olarak tasarlanmıştır. Daha spesifik olarak, Truva atı kurbanların e-postalarını, telefon numaralarını, şifrelerini, kimliklerini ve gerçek isimlerini ele geçirmeye çalışacaktır. Ek bir kötü amaçlı işlev, saldırganlar tarafından kontrol edilen özel bir sunucuya daha da fazla ayrıntı (Facebook kimlik bilgileri, Facebook adı, cihaz API'si, cihaz RAM'i, cihaz adı) gönderecektir.

Tehdit, varlığını güvenlik çözümlerinin algılamasını engellemek için yerel kitaplıkları kullanır. Schoolyard Bully, C&C verilerini 'libabc.so' adlı yerel bir kitaplık olarak depolamak için aynı tekniği kullanır. Tehdit ayrıca tüm dizelerini algılamaya karşı ek bir mekanizma olarak kodlar. Kötü amaçlı yazılım, kurbanın kimlik bilgilerini çalmak için, kötü niyetli bir javascript enjeksiyonunun hedeflenen kullanıcının verilerini çıkaracağı WebView içindeki meşru URL'yi açar. Tehdit, kod enjeksiyonunu gerçekleştirmenin bir yolu olarak 'evaluateJavascript' yöntemini kullanır.

trend

En çok görüntülenen

Yükleniyor...