Uma campanha de malware para Android disfarçada de aplicativos de leitura e educação está em andamento desde 2018, tentando roubar credenciais de contas do Facebook de dispositivos infectados.
De acordo com um novo relatório da Zimperium, a campanha infectou pelo menos 300.000 dispositivos em 71 países, com foco principal no Vietnã.
Alguns aplicativos usados para espalhar o trojan, que o Zimperium chamou de 'Schoolyard Bully', estavam anteriormente no Google Play, mas foram removidos.
No entanto, o Zimperium alerta que os aplicativos continuam sendo espalhados por lojas de aplicativos Android de terceiros.
Um valentão do pátio da escola
O malware Schoolyard Bully recebe esse nome por se disfarçar de aplicativos educacionais inofensivos e até benéficos.
No entanto, o principal objetivo do 'malware é roubar as credenciais da conta do Facebook (e-mail e senha), ID da conta, nome de usuário, nome do dispositivo, RAM do dispositivo e API do dispositivo.
O trojan rouba esses detalhes abrindo uma página de login legítima do Facebook dentro do aplicativo usando o WebView e injetando JavaScript malicioso para extrair as entradas do usuário.
"Javascript é injetado no WebView usando o método 'evaluateJavascript'", explica Zimperium .
"O código javascript extrai o valor dos elementos com 'ids m_login_email' e 'm_login_password', que são espaços reservados para o número de telefone, endereço de e-mail e senha."
Além disso, o malware usa bibliotecas nativas para ocultar seu código malicioso de software de segurança e ferramentas de análise.
Vítimas e atribuição
Zimperium diz que detectou esse malware em 300.000 vítimas em 71 países com base em seus dados de telemetria.
Além disso, como os 37 aplicativos associados a esta campanha são distribuídos por meio de lojas de aplicativos de terceiros, o número de vítimas provavelmente é maior, pois não há uma maneira confiável de medir a contagem de vítimas nessas plataformas.
Zimperium também alerta que provavelmente há mais aplicativos além daqueles que seus pesquisadores descobriram por trás desta campanha.
Os atores da ameaça por trás do trojan Schoolyard Bully são desconhecidos, mas os analistas conseguiram determinar que o malware não está associado à operação FlyTrap , que também tentou roubar contas do Facebook e se concentrou no Vietnã.
Postar um comentário
Convido você a compartilhar suas impressões e ideias! Sua opinião é extremamente importante para mim e para a comunidade do Seja Hoje Diferente. Deixe seu comentário, feedback ou sugestões logo abaixo no campo de comentários. É através dessa troca que crescemos juntos e transformamos o SHD em um espaço cada vez mais rico e inspirador para todos. Vamos continuar essa conversa? Escreva suas experiências e pensamentos — estarei ansioso para ler e responder!