Threat Database Mobile Malware Schoolyard Bully Mobile Malware

Schoolyard Bully Mobile Malware

Кіберзлочинці націлилися на облікові дані Facebook нічого не підозрюючих користувачів Android у рамках кампанії атак, яка триває принаймні з 2018 року. Зловмисники використовують раніше невідоме мобільне шкідливе програмне забезпечення, яке відстежується як троян Schoolyard Bully. Шкідливій кампанії вдалося скомпрометувати пристрої Android понад 300 000 користувачів у 71 країні. Проте було встановлено, що більшість жертв перебувають у В’єтнамі. Зібрані дані надсилаються на сервер Firebase C&C (Command and Control). Подробиці про загрозу та кампанію атаки були оприлюднені у звіті експертів із захисту інформації Zimperium zLabs.

Загроза хулігана Schoolyard поширюється під виглядом законних додатків. Шкідливі програми представляють себе як освітні інструменти або програми, які надають користувачам доступ до широкого спектру книг з багатьох різних жанрів. Деякі з цих збройних програм навіть змогли тимчасово обійти захист офіційного Google Play Store і бути доступними для завантаження. Google видалив програми Schoolyard Bully, але користувачі все одно можуть заразитися, якщо завантажать їх із менш безпечного стороннього магазину програм або платформи.

Шкідливі можливості

Schoolyard Bully розроблено спеціально для крадіжки облікових даних Facebook своїх жертв. Зокрема, троян намагатиметься скомпрометувати електронну адресу, номер телефону, пароль, ідентифікатор та справжнє ім’я жертви. Додаткова шкідлива функція надсилатиме ще більше деталей (облікові дані Facebook, ім’я Facebook, API пристрою, оперативну пам’ять пристрою, ім’я пристрою) на виділений сервер, контрольований зловмисниками.

Щоб приховати свою присутність від засобів безпеки, загроза використовує рідні бібліотеки. Schoolyard Bully використовує ту саму техніку для зберігання даних C&C, що й рідна бібліотека під назвою «libabc.so». Загроза також кодує всі свої рядки як додатковий механізм проти виявлення. Щоб викрасти облікові дані жертви, зловмисне програмне забезпечення відкриває законну URL-адресу в WebView, звідки зловмисна ін’єкція JavaScript витягує дані цільового користувача. Загроза використовує метод evaluateJavascript як спосіб впровадження коду.

В тренді

Найбільше переглянуті

Завантаження...