2018'den beri okuma ve eğitim uygulamaları olarak maskelenen bir Android kötü amaçlı yazılım kampanyası, enfekte cihazlardan Facebook hesap kimlik bilgilerini çalmaya çalışıyor.
Zimperium'un yeni bir raporuna göre, kampanya 71 ülkede öncelikle Vietnam'a odaklanan en az 300.000 cihaza bulaştı.
Zimperium'un 'Schoolyard Bully' adlı Truva atını yaymak için kullanılan bazı uygulamalar daha önce Google Play'daydı, ancak o zamandan beri kaldırıldı.
Ancak Zimperium, uygulamaların üçüncü taraf Android uygulama mağazalarından yayılmaya devam ettiği konusunda uyarıyor.
Schoolyard Bully Malware adını zararsız ve hatta faydalı eğitim uygulamaları olarak maskelenmekten alır.
Ancak, 'kötü amaçlı yazılımın temel amacı Facebook hesap kimlik bilgilerini (e -posta ve şifre), hesap kimliği, kullanıcı adı, cihaz adı, cihaz RAM ve cihaz API'sını çalmaktır.
Trojan, WebView kullanarak uygulamanın içinde meşru bir Facebook giriş sayfası açarak ve kullanıcı girişlerini çıkarmak için kötü amaçlı JavaScript enjekte ederek bu ayrıntıları çalıyor.
Zimperium, "JavaScript," Değerlendirmejavascript "yöntemi kullanılarak web görünümüne enjekte edilir."
"JavaScript kodu, telefon numarası, e -posta adresi ve şifre için yer tutucular olan 'M_Login_EMAil' ve 'M_Login_Password' ile öğelerin değerini çıkarır."
Ayrıca, kötü amaçlı yazılım, kötü amaçlı kodunu güvenlik yazılımı ve analiz araçlarından gizlemek için yerel kütüphaneler kullanır.
Zimperium, telemetri verilerine dayanarak 71 ülkede 300.000 kurban üzerinde bu kötü amaçlı yazılımları tespit ettiklerini söylüyor.
Ayrıca, bu kampanyayla ilişkili 37 uygulama üçüncü taraf uygulama mağazaları aracılığıyla dağıtıldığından, bu platformlarda mağdur sayımlarını ölçmenin güvenilir bir yolu olmadığından, kurban sayısı muhtemelen daha yüksektir.
Zimperium ayrıca, araştırmacılarının bu kampanyanın arkasında keşfettiklerine ek olarak daha fazla uygulama olduğu konusunda da uyarıyor.
Okul bahçesi kabadayı Truva atının arkasındaki tehdit aktörleri bilinmiyor, ancak analistler kötü amaçlı yazılımların Facebook hesaplarını çalmaya çalışan ve Vietnam'a odaklanan FlyTrap operasyonu ile ilişkili olmadığını belirleyebildiler.
Google Play'de 2 milyon yüklemeli Android kötü amaçlı yazılım uygulamaları
Android Dosya Yöneticisi Uygulamaları Binlerce'yi Sharkbot ile Enfekte
Resmi Olmayan WhatsApp Android Uygulaması Kullanıcıların Hesaplarını Çalmaya Yakalandı
Samsung, LG, MediaTek Sertifikaları Android kötü amaçlı yazılımları imzalamaktan ödün verdi
15 milyon yüklemeli Android ve iOS uygulamaları zorla kredi arayanlar
Kaynak: Bleeping Computer