Mobil güvenlik şirketi Zimperium’un zLabs’ı, Facebook kullanıcılarının yaklaşık 300.000 kimlik bilgisini çalan kötü şöhretli bir Android truva atı hakkında bir uyarı yayınladı.
zLabs’e göre, Schoolyard Bully kötü amaçlı yazılımı, en az 2008’den beri aktif olan yepyeni bir Android tehdit kampanyasında kullanılan kötü amaçlı yazılımın adıdır. Saldırganlar, özellikle Facebook kullanıcı kimlik bilgilerini hedefler ve kötü amaçlı yazılım, Facebook’tan indirilen birkaç uygulamada bulunur. üçüncü taraf uygulama mağazaları ve Google Play Store.
Kötü amaçlı yazılımın birincil hedefleri Vietnam’da bulunuyor. Ancak zLabs araştırmacıları, şimdiye kadar 300.000’den fazla kurbanın tespit edildiğini ve uygulamalar üçüncü taraf uygulama mağazalarında mevcutken Google Play Store’un resmi mağazasından kaldırdığı için 71 farklı ülkede bulunduğunu iddia ediyor.
Truva Ayrıntıları
Schoolyard Bully kötü amaçlı yazılımı, çoğunlukla eğitim uygulamaları olmak üzere zararsız görünen Android uygulamaları aracılığıyla gönderilir. Bu uygulamaların içinde kötü amaçlı kod gizlidir ve Facebook kimlik bilgilerini çalmak ve bunları tehdit aktörleri için Firebase C&C’ye yükleyin. Truva atı, kullanıcıları Facebook kullanıcı adlarını/şifrelerini vermeye çeken kimlik avı sayfalarını görüntülemek için JavaScript enjeksiyonlarına güvenir.
Tehdit aktörleri, kullanıcı kimlik bilgilerini almak ve finansal hesaplara başarılı bir şekilde erişmek için truva atından yararlanır. Kullanıcıların yaklaşık %64’ü, daha önceki bir ihlalde açığa çıkan aynı parolaları kullandı. Belki de bu, truva atının yıllarca aktif kalmasına izin verdi.
Schoolyard Bully Truva Atı, virüsten koruma yazılımlarından ve makine öğrenimi virüs tespitlerinden gizli kalmak için çalınan verileri depolamak için libabc.so gibi yerel kitaplıkları kullanır. Veri dizileri, daha fazla kodlama yoluyla algılama yazılımından gizlenir. Ayrıca, kötü amaçlı eğitim uygulamaları bir parola korumalı ZIP.
Hangi Tarihlerde Çalınabilir?
Schoolyard Bully kötü amaçlı yazılımı, kullanıcı kimliği, parola, e-posta kimliği, telefon numarası, Facebook profil adı, Facebook kimliği ve cihaz RAM’i ve API gibi cihazla ilgili bilgiler dahil olmak üzere masum kullanıcıların Facebook hesaplarından hassas verileri çalabilir.
Zimperium araştırmacıları yayınlanan teknik bilgiler kampanya ve Schoolyard Bully kötü amaçlı yazılımını tespit etmeye yardımcı olabilecek taviz göstergeleri hakkında.
Alakalı haberler
- 6 milyon yüklemeye sahip 9 uygulama, Android kullanıcılarının Facebook oturum açma bilgilerini çaldı
- Mandrake Android kötü amaçlı yazılımı 2016’dan beri Facebook ve kripto verilerini çalıyor
- Sahte Netflix, WhatsApp, Facebook Android Uygulamaları SpyNote RAT İçeriyor
- Facebook, iOS ve Android kötü amaçlı yazılımlarını yaydığı için 100’lerce hesabı kaldırır
- Cookiethief Android kötü amaçlı yazılımı Facebook hesaplarını parola olmadan hackliyor