Schoolyard Bully Mobile Malware

サイバー犯罪者は、少なくとも 2018 年から続いている攻撃キャンペーンの一環として、無防備な Android ユーザーの Facebook 資格情報を標的にしています。攻撃者は、Schoolyard Bully Trojan として追跡される、これまで知られていなかったモバイル マルウェアを使用しています。悪意のあるキャンペーンは、71 か国に広がる 300,000 人を超えるユーザーの Android デバイスを侵害することに成功しました。しかし、ほとんどの被害者はベトナムにいることが確認されています。収集されたデータは、Firebase C&C (コマンド アンド コントロール) サーバーに送信されます。脅威と攻撃キャンペーンに関する詳細は、Zimperium zLabs の情報セキュリティの専門家によるレポートで明らかにされました。

Schoolyard のいじめの脅威は、一見正規のアプリを装って拡散されています。悪意のあるアプリケーションは、さまざまなジャンルの幅広い書籍へのアクセスをユーザーに提供する教育ツールまたはアプリを装っています。これらの武器化されたアプリの中には、公式の Google Play ストアのセキュリティ保護を一時的に回避してダウンロードできるものさえありました。 Google は Schoolyard Bully アプリを削除しましたが、ユーザーが安全性の低いサードパーティのアプリ ストアやプラットフォームからダウンロードすると、依然として感染する可能性があります。

悪意のある機能

Schoolyard Bully は、被害者の Facebook 資格情報を盗むように特別に設計されています。具体的には、このトロイの木馬は、被害者の電子メール、電話番号、パスワード、ID、および実名を侵害しようとします。追加の悪意のある機能は、さらに詳細 (Facebook 資格情報、Facebook 名、デバイス API、デバイス RAM、デバイス名) を、攻撃者が制御する専用サーバーに送信します。

セキュリティ ソリューションによって検出されないようにその存在を隠すために、この脅威はネイティブ ライブラリを利用します。 Schoolyard Bully は同じ手法を使用して、C&C データを「libabc.so」という名前のネイティブ ライブラリとして保存します。この脅威は、検出に対する追加のメカニズムとして、すべての文字列もエンコードします。被害者の資格情報を盗むために、マルウェアは WebView 内で正規の URL を開き、悪意のある JavaScript インジェクションによって標的のユーザーのデータを抽出します。この脅威は、コード インジェクションを実行する方法として「evaluateJavascript」メソッドを使用します。