Threat Database Mobile Malware Schoolyard Bully Mobile Malware

Schoolyard Bully Mobile Malware

Cyberkriminelle haben es im Rahmen einer Angriffskampagne, die mindestens seit 2018 läuft, auf die Facebook-Zugangsdaten ahnungsloser Android-Benutzer abgesehen. Die Angreifer verwenden eine zuvor unbekannte mobile Malware, die als Schoolyard Bully-Trojaner verfolgt wird. Die böswillige Kampagne hat es geschafft, die Android-Geräte von mehr als 300.000 Benutzern in 71 Ländern zu kompromittieren. Die meisten Opfer wurden jedoch in Vietnam identifiziert. Die gesammelten Daten werden an einen Firebase C&C-Server (Command and Control) gesendet. Details über die Bedrohung und die Angriffskampagne wurden in einem Bericht der Infosec-Experten von Zimperium zLabs enthüllt.

Die Schulhof-Mobbing-Bedrohung wird unter dem Deckmantel scheinbar legitimer Apps verbreitet. Die bösartigen Anwendungen geben sich als Lerntools oder Apps aus, die Benutzern Zugriff auf eine breite Palette von Büchern aus zahlreichen verschiedenen Genres bieten. Einige dieser bewaffneten Apps waren sogar in der Lage, die Sicherheitsvorkehrungen des offiziellen Google Play Store vorübergehend zu umgehen und zum Download verfügbar zu sein. Google hat die Schoolyard Bully-Apps entfernt, aber Benutzer könnten sich immer noch infizieren, wenn sie sie von einem weniger sicheren App-Store oder einer Plattform eines Drittanbieters herunterladen.

Schädliche Fähigkeiten

Schoolyard Bully wurde speziell entwickelt, um die Facebook-Zugangsdaten seiner Opfer zu stehlen. Genauer gesagt versucht der Trojaner, die E-Mail-Adresse, Telefonnummer, das Passwort, die ID und den echten Namen des Opfers zu kompromittieren. Eine zusätzliche Schadfunktion sendet noch mehr Details (Facebook-Anmeldeinformationen, Facebook-Name, Geräte-API, Geräte-RAM, Gerätename) an einen dedizierten Server, der von den Angreifern kontrolliert wird.

Um ihre Anwesenheit vor der Erfassung durch Sicherheitslösungen zu verbergen, verwendet die Bedrohung native Bibliotheken. Schoolyard Bully verwendet die gleiche Technik, um seine C&C-Daten als native Bibliothek namens „libabc.so“ zu speichern. Die Bedrohung verschlüsselt auch alle ihre Zeichenfolgen als zusätzlichen Mechanismus gegen Erkennung. Um die Anmeldeinformationen des Opfers zu stehlen, öffnet die Malware die legitime URL in WebView, wo eine böswillige Javascript-Injektion die Daten des Zielbenutzers extrahiert. Die Bedrohung verwendet die Methode „evaluateJavascript“, um die Code-Injektion durchzuführen.

Im Trend

Am häufigsten gesehen

Wird geladen...