Mobil güvenlik firması Zimperium kısa bir süre önce, kötü niyetli bir tehdit kampanyasında aktif olarak eğitim uygulaması kılığına giren “Schoolyard Bully” adlı bir Truva Atı hakkında bir uyarı yayınladı.
Bu truva atı “Schoolyard Bully” 2018’den beri aktif olmasına ve virüslü cihazlardan öncelikle Facebook hesap kimlik bilgilerini çalmasına rağmen.
Şu an itibariyle, kampanya 71’den fazla ülkedeki cihazlara bulaştı ve bulaşmaların çoğu Vietnam’dan geliyor. Şimdiye kadar 300.000’den fazla enfeksiyon bildirildi.
Bu kötü amaçlı yazılım, keşfedildikten sonra resmi Google Play mağazasından kaldırıldı. Hala bu uygulamaları sunan üçüncü taraf uygulama mağazaları olduğu için bu, gerçek ülke sayısının açıklanandan daha fazla olduğu anlamına gelebilir.
Okul Bahçesi Zorbası Truva Atı’nın Yetenekleri
Schoolyard Bully Truva Atı, tehdit aktörleri tarafından yetkisiz kimlik bilgilerini kullanarak hassas bilgilere erişmek için kullanılır. Finansal hesaplara erişim olanağı onlar için çok daha başarılıdır.
Bireylerin yaklaşık %64’ü, önceki bir ihlalde ortaya çıkan parolanın aynısını kullanıyor. Parolaları geri dönüştüren kullanıcıların yüzdesi düşünüldüğünde, Schoolyard Bully Truva Atı’nın yıllardır aktif olması şaşırtıcı değil.
İnsanların yaklaşık %64’ünün daha önce güvenliği ihlal edilmiş aynı parolayı kullanıyor olma olasılığı çok yüksektir. İnsanların eski şifrelerini geri dönüştürme oranının yüksek olması nedeniyle “Schoolyard Bully Truva Atları” tespit edilmeden yıllarca aktif kaldı. Zimperium araştırmacıları söyledi.
Schoolyard Bully Truva Atı bir kullanıcının Facebook hesabına yerleştirildiğinde, hesabından aşağıdaki bilgileri çalma yeteneği kazanır:-
- Facebook Profilindeki Ad
- Facebook kimliği
- Facebook E-posta/Telefon Numarası
- facebook şifresi
- Cihaz adı
- Cihaz API’sı
- Cihaz RAM’i
- Okul Bahçesi Zorba Truva Atı Mekanizması
Bu kötü niyetli kampanyada, çoğunlukla Vietnamlı okuyucular Schoolyard Bully Truva Atı tarafından hedef alınır ve kendisini meşru eğitim uygulamaları gibi göstererek onları kandırır.
Facebook kimlik bilgileri söz konusu olduğunda, bu truva atı onları JavaScript enjeksiyonu kullanarak çalar. Truva atı, kullanıcının özel bilgilerini çalmak için, kullanıcının verilerini tarayıcıdan çıkaran kötü amaçlı javascript enjekte edilmiş bir Web Görünümü içinde meşru URL’yi açar.
Burada Javascript’i WebView’e enjekte etmek için “evaluateJavascript” yöntemi kullanılır. Aşağıdaki kimliklerin yardımıyla, öğelerin değerleri javascript kodu tarafından sürüklenir: –
- m_login_email
- m_login_password
Çeşitli virüsten koruma programları ve makine zekası programları, yerel kitaplıkları nedeniyle kötü amaçlı yazılımı tespit edemez. Bu truva atı, C&C verilerini depolamak amacıyla yerel bir kitaplık olan “libabc.so” kullanır.
Verilerin kodlanmasına ek olarak, gizliliği en üst düzeye çıkarmak için dizeler algılama mekanizmalarından daha da gizlenir. Parola korumalı bir zip dosyasında, kötü amaçlı uygulamalar eğitim verilerinin yanı sıra C&C ayrıntılarını da gizler.
Şifreye ek olarak, C&C sistemi ile ilgili bazı detaylar da libabc.so’da saklanmaktadır. Siber güvenlik analistleri, kullanıcıların kötü amaçlı trojan tehdidi altında olmadıklarından emin olmak için Android cihazlarında hızlı bir risk değerlendirmesi yapmalarını şiddetle tavsiye ediyor.
Zimperium’un araştırmacıları tarafından bulunan uygulamalara ek olarak Zimperium, bu kampanyanın arkasında bildirilenlerden daha fazlasının olabileceği konusunda uyarıyor.
Uygulamalar için Yönetilen DDoS Saldırı Koruması – Ücretsiz Kılavuzu İndirin