2018’den beri aktif olan yeni bir Android tehdit kampanyası olan Schoolyard Bully Truva Atı, Zimperium zLabs tarafından bulundu. 300.000’den fazla kişi, özellikle Facebook giriş bilgilerini hedefleyen kampanyanın kurbanı oldu.
Zimperium tarafından yakın zamanda yapılan bir analiz, ağırlıklı olarak Vietnam’ı hedef alan operasyonun 71 farklı ülkedeki kurbanları enfekte ettiğini iddia ediyor.
Okul Bahçesi Zorba Truva Atlarının Çalışması
Araştırmacılar, Google Play Store’dan ve diğer uygulama mağazalarından indirilen çok sayıda uygulamanın Schoolyard Bully Truva Atlarını içerdiğini söylüyor.
Zimperium zLabs, “İyi adam kılığına girerek, “Schoolyard Bully Truva Atı” olarak bilinen bu kötü amaçlı uygulamalar, kurbanlarının okuması için çok çeşitli kitaplar ve konularla meşru, eğitici uygulamalar olarak kamufle ediliyor”, Zimperium zLabs
Eğitim uygulamalarında kötü amaçlı kod gizlendi, Facebook oturum açma bilgilerini çalmayı ve tehdit aktörlerinin Firebase C&C sunucularına yüklemeyi başardılar.
Bu uygulamalara artık Google Play Store üzerinden erişilemese de üçüncü taraf uygulama mağazaları aracılığıyla erişilebilir.
Özellikle, araştırmacılar, şifreleri geri dönüştüren kullanıcı sayısı göz önüne alındığında, Schoolyard Bully Truva Atı’nın yıllardır aktif olmasının şaşırtıcı olmadığını söylüyor.
Okul Bahçesinde Zorba Truva Atı Tarafından Bir Kurbanın Facebook Hesabından Çalınan Ayrıntılar:
- E-posta / Telefon Numarası
- Şifre
- İD
- İsim
Kötü amaçlı yazılımın birincil amacı, oturum açma bilgileri (e-posta ve şifre), hesap kimliği, kullanıcı adı, cihaz adı, RAM ve API dahil olmak üzere Facebook hesap bilgilerini çalmaktır.
Araştırmacılar, bu truva atının Facebook oturum açma bilgilerini çalmak için Javascript enjeksiyonu kullandığını açıklıyor. Truva atı, kullanıcının telefon numarasını, e-posta adresini ve parolasını almak için, kötü amaçlı javascript enjekte edilmiş bir Web Görünümü içindeki meşru URL’yi açar ve ardından bunu yapılandırılmış Firebase C&C’ye gönderir.
Ayrıca kötü amaçlı yazılım, antivirüs ve makine öğrenimi virüs tespitlerinin çoğundan saklanmak için yerel kitaplıkları kullanır.
Bu nedenle, cihazlarınızın trojan kötü amaçlı yazılımlarından korunduğundan emin olmak için hızlı bir risk analizi yapmanız önerilir.
Güvenli Web Ağ Geçidi – Web Filtresi Kuralları, Etkinlik İzleme ve Kötü Amaçlı Yazılımdan Koruma – Ücretsiz E-Kitap İndirin