Threat Database Mobile Malware Schoolyard Bully Mobile Malware

Schoolyard Bully Mobile Malware

Les cybercriminels ciblent les informations d'identification Facebook d'utilisateurs Android sans méfiance dans le cadre d'une campagne d'attaque qui dure depuis au moins 2018. Les acteurs de la menace utilisent un logiciel malveillant mobile jusqu'alors inconnu suivi sous le nom de cheval de Troie Schoolyard Bully. La campagne malveillante a réussi à compromettre les appareils Android de plus de 300 000 utilisateurs répartis dans 71 pays. La plupart des victimes, cependant, ont été identifiées comme se trouvant au Vietnam. Les données récoltées sont envoyées à un serveur Firebase C&C (Command and Control). Des détails sur la menace et la campagne d'attaque ont été dévoilés dans un rapport par les experts de la sécurité informatique de Zimperium zLabs.

La menace d'intimidation de la cour d'école se propage sous le couvert d'applications apparemment légitimes. Les applications malveillantes se présentent comme des outils ou des applications pédagogiques qui permettent aux utilisateurs d'accéder à un large éventail de livres de nombreux genres différents. Certaines de ces applications militarisées ont même pu contourner temporairement les protections de sécurité du Google Play Store officiel et être disponibles en téléchargement. Google a supprimé les applications Schoolyard Bully, mais les utilisateurs peuvent toujours être infectés s'ils les téléchargent à partir d'un magasin d'applications ou d'une plate-forme tierce moins sûre.

Capacités malveillantes

Schoolyard Bully est conçu spécifiquement pour voler les identifiants Facebook de ses victimes. Plus précisément, le cheval de Troie tentera de compromettre l'adresse e-mail, le numéro de téléphone, le mot de passe, l'identifiant et le vrai nom des victimes. Une fonction malveillante supplémentaire enverra encore plus de détails (informations d'identification Facebook, nom Facebook, API de l'appareil, RAM de l'appareil, nom de l'appareil) à un serveur dédié contrôlé par les attaquants.

Pour empêcher sa présence d'être détectée par les solutions de sécurité, la menace utilise des bibliothèques natives. Schoolyard Bully utilise la même technique pour stocker ses données C&C qu'une bibliothèque native nommée « libabc.so ». La menace encode également toutes ses chaînes comme un mécanisme supplémentaire contre la détection. Pour voler les informations d'identification de la victime, le logiciel malveillant ouvre l'URL légitime dans WebView, où une injection javascript malveillante extraira les données de l'utilisateur ciblé. La menace utilise la méthode 'evaluateJavascript' pour effectuer l'injection de code.

Tendance

Le plus regardé

Chargement...