Más de 300.000 usuarios en 71 países han sido víctimas de una nueva campaña de amenazas de Android llamada Troyano Schoolyard Bully.
Diseñado principalmente para robar las credenciales de Facebook, el malware se camufla como aplicaciones legítimas con temas educativos para atraer a los usuarios desprevenidos para que las descarguen.
Las aplicaciones, que estaban disponibles para descargar desde la tienda oficial de Google Play, ahora se han eliminado. Dicho esto, siguen estando disponibles en tiendas de aplicaciones de terceros.
«Este troyano usa la inyección de JavaScript para robar las credenciales de Facebook», dijeron los investigadores de Zimperium Nipun Gupta y Aazim Bill SE Yaswant en un reporte compartido con The Hacker News.
Lo logra al iniciar la página de inicio de sesión de Facebook en un WebView, que también incorpora código JavasCript malicioso para filtrar el número de teléfono, la dirección de correo electrónico y la contraseña del usuario a un servidor de comando y control (C2) configurado.
El troyano Schoolyard Bully utiliza además bibliotecas nativas como «libabc.so» para evitar la detección por parte de las soluciones antivirus.
Si bien el malware identifica aplicaciones en idioma vietnamita, también se ha descubierto en varias otras aplicaciones disponibles en más de 70 países, lo que subraya la escala de los ataques.
Los hallazgos se producen más de un año después de que Zimperium descubriera una actividad similar destinada a comprometer las cuentas de Facebook a través de aplicaciones de Android no autorizadas como parte de una campaña con el nombre en código FlyTrap.
«Los atacantes pueden causar muchos estragos al robar contraseñas de Facebook», dijo Richard Melick, director de inteligencia de amenazas móviles de Zimperium. «Si pueden hacerse pasar por alguien desde su cuenta legítima de Facebook, se vuelve extremadamente fácil engañar a amigos y otros contactos para que envíen dinero o información confidencial».
«También es muy preocupante cuántas personas reutilizan las mismas contraseñas. Si un atacante roba la contraseña de Facebook de alguien, existe una alta probabilidad de que el mismo correo electrónico y contraseña funcionen con aplicaciones bancarias o financieras, cuentas corporativas y mucho más».