Schoolyard Bully Truva Atı Uygulamaları, 300.000’den Fazla Android Kullanıcısının Facebook Kimlik Bilgilerini Çaldı

71 ülkede 300.000’den fazla kullanıcı, Android adı verilen yeni bir tehdit kampanyasının kurbanı oldu. Okul Bahçesi Zorbası Truva Atı.

Esas olarak Facebook kimlik bilgilerini çalmak için tasarlanan kötü amaçlı yazılım, şüphelenmeyen kullanıcıları onları indirmeye ikna etmek için meşru eğitim temalı uygulamalar olarak kamufle edilir.

Resmi Google Play Store’dan indirilebilen uygulamalar artık yayından kaldırıldı. Bununla birlikte, üçüncü taraf uygulama mağazalarında bulunmaya devam ediyorlar.

Zimperium araştırmacıları Nipun Gupta ve Aazim Bill SE Yaswant, “Bu truva atı, Facebook kimlik bilgilerini çalmak için JavaScript enjeksiyonu kullanıyor” dedi. bildiri The Hacker News ile paylaştı.

Bunu, kullanıcının telefon numarasını, e-posta adresini ve şifresini yapılandırılmış bir komut ve kontrol (C2) sunucusuna sızdırmak için içine kötü amaçlı JavasCript kodunu da yerleştiren bir WebView’da Facebook’un oturum açma sayfasını başlatarak başarır.

Schoolyard Bully Truva Atı, antivirüs çözümlerinin algılamasını önlemek için “libabc.so” gibi yerel kitaplıklardan da yararlanır.

Kötü amaçlı yazılım Vietnamca dil uygulamalarını öne çıkarırken, 70’ten fazla ülkede bulunan diğer birkaç uygulamada da keşfedildi ve bu da saldırıların ölçeğini vurguladı.

Bulgular, Zimperium’un FlyTrap kod adlı bir kampanyanın parçası olarak hileli Android uygulamaları aracılığıyla Facebook hesaplarını ele geçirmeyi amaçlayan benzer faaliyetleri ortaya çıkarmasından bir yıldan uzun bir süre sonra geldi.

Zimperium mobil tehdit istihbaratı direktörü Richard Melick, “Saldırganlar Facebook şifrelerini çalarak çok fazla tahribata neden olabilir” dedi. “Meşru Facebook hesaplarından birinin kimliğine bürünebilirlerse, para veya hassas bilgi göndermeleri için arkadaşlarına ve diğer kişilere kimlik avı yapmak son derece kolay hale gelir.”

“Aynı zamanda kaç kişinin aynı parolaları tekrar kullandığı da önemli. Bir saldırgan birinin Facebook parolasını çalarsa, aynı e-posta ve parolanın bankacılık veya finans uygulamalarında, kurumsal hesaplarda ve çok daha fazlasında çalışma olasılığı yüksektir.”