Threat Database Mobile Malware Schoolyard Bully Mobile Malware

Schoolyard Bully Mobile Malware

Los ciberdelincuentes han estado apuntando a las credenciales de Facebook de usuarios de Android desprevenidos como parte de una campaña de ataque que ha estado ocurriendo desde al menos 2018. Los actores de amenazas están utilizando un malware móvil previamente desconocido rastreado como Schoolyard Bully Trojan. La campaña maliciosa ha logrado comprometer los dispositivos Android de más de 300.000 usuarios repartidos en 71 países. Sin embargo, se ha identificado que la mayoría de las víctimas se encuentran en Vietnam. Los datos recopilados se envían a un servidor Firebase C&C (Command and Control). Los detalles sobre la amenaza y la campaña de ataque se dieron a conocer en un informe de los expertos en seguridad de la información de Zimperium zLabs.

La amenaza del acosador Schoolyard se difunde bajo la apariencia de aplicaciones aparentemente legítimas. Las aplicaciones maliciosas se hacen pasar por herramientas o aplicaciones educativas que brindan a los usuarios acceso a una amplia gama de libros de numerosos géneros diferentes. Algunas de estas aplicaciones armadas incluso pudieron eludir temporalmente las protecciones de seguridad de la tienda oficial de Google Play y estar disponibles para su descarga. Google eliminó las aplicaciones Schoolyard Bully, pero los usuarios aún podrían infectarse si las descargan de una plataforma o tienda de aplicaciones de terceros menos segura.

Capacidades maliciosas

Schoolyard Bully está diseñado específicamente para robar las credenciales de Facebook de sus víctimas. Más específicamente, el troyano intentará comprometer el correo electrónico, el número de teléfono, la contraseña, la identificación y el nombre real de las víctimas. Una función maliciosa adicional enviará aún más detalles (credenciales de Facebook, nombre de Facebook, API del dispositivo, RAM del dispositivo, nombre del dispositivo) a un servidor dedicado controlado por los atacantes.

Para ocultar su presencia y evitar que las soluciones de seguridad la detecten, la amenaza utiliza bibliotecas nativas. Schoolyard Bully usa la misma técnica para almacenar sus datos de C&C como una biblioteca nativa llamada 'libabc.so'. La amenaza también codifica todas sus cadenas como un mecanismo adicional contra la detección. Para robar las credenciales de la víctima, el malware abre la URL legítima dentro de WebView, donde una inyección de javascript maliciosa extraerá los datos del usuario objetivo. La amenaza utiliza el método 'evaluateJavascript' como forma de realizar la inyección de código.

Tendencias

Mas Visto

Cargando...