Threat Database Mobile Malware Schoolyard Bully Mobile Malware

Schoolyard Bully Mobile Malware

Tội phạm mạng đã nhắm mục tiêu thông tin đăng nhập Facebook của những người dùng Android cả tin như một phần của chiến dịch tấn công đã diễn ra ít nhất là từ năm 2018. Những kẻ đe dọa đang sử dụng một phần mềm độc hại di động chưa biết trước đây được theo dõi là Schoolyard Bully Trojan. Chiến dịch độc hại đã tìm cách xâm nhập các thiết bị Android của hơn 300.000 người dùng trải rộng trên 71 quốc gia. Tuy nhiên, hầu hết các nạn nhân đã được xác định là ở Việt Nam. Dữ liệu đã thu thập được gửi đến máy chủ Firebase C&C (Command and Control). Thông tin chi tiết về mối đe dọa và chiến dịch tấn công đã được tiết lộ trong một báo cáo của các chuyên gia bảo mật thông tin tại Zimperium zLabs.

Mối đe dọa bắt nạt Schoolyard được lan truyền dưới vỏ bọc của các ứng dụng có vẻ hợp pháp. Các ứng dụng độc hại đóng vai trò là công cụ hoặc ứng dụng giáo dục cung cấp cho người dùng quyền truy cập vào nhiều loại sách thuộc nhiều thể loại khác nhau. Một số ứng dụng được vũ khí hóa này thậm chí có thể tạm thời bỏ qua các biện pháp bảo vệ an ninh của Cửa hàng Google Play chính thức và có sẵn để tải xuống. Google đã xóa ứng dụng Schoolyard Bully, nhưng người dùng vẫn có thể bị nhiễm virus nếu họ tải xuống từ nền tảng hoặc cửa hàng ứng dụng bên thứ ba kém an toàn hơn.

khả năng độc hại

Schoolyard Bully được thiết kế đặc biệt để đánh cắp thông tin đăng nhập Facebook của nạn nhân. Cụ thể hơn, Trojan sẽ cố gắng xâm phạm email, số điện thoại, mật khẩu, ID và tên thật của nạn nhân. Một chức năng độc hại bổ sung sẽ gửi nhiều chi tiết hơn (thông tin đăng nhập Facebook, tên Facebook, API thiết bị, RAM thiết bị, tên thiết bị) đến một máy chủ chuyên dụng do những kẻ tấn công kiểm soát.

Để che giấu sự hiện diện của nó khỏi bị các giải pháp bảo mật phát hiện, mối đe dọa này sử dụng các thư viện gốc. Schoolyard Bully sử dụng kỹ thuật tương tự để lưu trữ dữ liệu C&C dưới dạng thư viện gốc có tên 'libabc.so.' Mối đe dọa cũng mã hóa tất cả các chuỗi của nó như một cơ chế bổ sung để chống lại sự phát hiện. Để đánh cắp thông tin đăng nhập của nạn nhân, phần mềm độc hại sẽ mở URL hợp pháp trong WebView, nơi một nội dung nhúng javascript độc hại sẽ trích xuất dữ liệu của người dùng được nhắm mục tiêu. Mối đe dọa sử dụng phương pháp 'đánh giáJavascript' như một cách để thực hiện việc tiêm mã.

xu hướng

Xem nhiều nhất

Đang tải...