Зловреден софтуер за Android Schoolyard Bully иска вход във Facebook, а не пари за обяд

The Компанията за киберсигурност Zimperium, публикува публикация в блог, описваща наскоро открита кампания за злонамерен софтуер за Android, която се провежда от 2018 г. Тази кампания разпространява група злонамерени приложения, които изследователите наричат ​​„Schoolyard Bully Trojan“ поради факта, че злонамерените приложения са маскирани като образователни приложения които предлагат широка гама от книги за четене на потребителите. Въпреки това, вместо да се опита да ви открадне парите за обяд Банков зловреден софтуерПобойник в училищния двор троянци Целта е да се предадат идентификационните данни на акаунта във Facebook на потребителите. Въпреки това, както ще обсъдим, това усилие все пак може да е било хитрост за получаване на достъп до финансовите сметки на жертвите.

Според констатациите на изследователите този троянски кон е насочен предимно към потребители от Виетнам. Повече от 300 000 жертви на този злонамерен софтуер обаче са разпространени в най-малко 71 държави, така че тази кампания със злонамерен софтуер все още представлява заплаха за потребителите извън Виетнам. Изследователите на Zimperium са идентифицирали няколко приложения в Google Play Store, които съдържат полезен товар Schoolyard Bully. Оттогава Google премахна тези приложения от Play Store, но те все още са достъпни в магазините за приложения на трети страни за изтегляне от нищо неподозиращите потребители.

Злонамерените образователни приложения отварят новините на портала за влизане във Facebook
Приложенията Schoolyard Bully Trojan включват подкана за влизане във Facebook (Щракнете, за да увеличите) (Източник: Семпериум)

Тези измамни образователни приложения включват това, което е представено като функция за чат, която се интегрира с Facebook. Когато потребителите изберат раздела Чат, приложенията представят на потребителите легитимната страница за вход във Facebook. Въпреки това, вместо да показват тази уеб страница с помощта на Android System WebView, приложенията вместо това използват персонализиран уеб браузър в приложението, който инжектира злонамерен JavaScript в уеб страницата. Този код извлича всички идентификационни данни за вход, въведени на страницата, и ги изпраща на сървър, контролиран от участниците в заплахата зад тази злонамерена кампания.

В мрачен обрат Meta беше открита по-рано тази година с помощта на персонализиран браузър в приложението в приложенията Facebook, Instagram и Messenger, за да инжектира нещо, което изглежда като проследяващ скрипт в уеб страниците, разглеждани в тези приложения. ние написахме По време на това откритие това повдигна по-широки опасения за поверителността и сигурността, тъй като злонамерени приложения биха могли потенциално да използват същата технология, за да инжектират код, който краде идентификационни данни за вход. Както се оказа, има поне една кампания за злонамерен софтуер, която работи точно както сме свикнали да очакваме от 2018 г. насам.

Zimperium също така отбелязва, че това усилие за кражба на идентификационни данни за вход във Facebook може да е част от по-голям опит за получаване на неоторизиран достъп до банковите сметки на жертвите. Хората обикновено използват повторно пароли в множество акаунти, както се вижда от ефективността на Атаки с пълнене на идентификационни данни. По този начин неусетното разпространение на зловреден софтуер, който краде идентификационни данни за вход във Facebook, може да бъде по-надежден начин за получаване на неоторизиран достъп до финансовите сметки на потребителите, отколкото разпространението на банков зловреден софтуер, който обикновено изисква потребителите да му дадат широки разрешения, преди да може да бъде ефективен. Когато потребителите не използват уникални пароли за всеки от своите акаунти, те не трябва да приемат, че атаката срещу един акаунт завършва дотук.