Trojan podstępnie kradnący poświadczenia kont na Facebooku

kapitanhack.pl 1 rok temu

Grupa badaczy Zimperium zLabs wykryła nową kampanię zagrożeń dla systemu Android, trojana „Schoolyard Bully”, aktywnego od 2018 roku. Kampania dotknęła ponad 300 000 ofiar i jest ukierunkowana w szczególności na dane uwierzytelniające Facebooka. Różne odmiany trojana zostały odnalezione w wielu aplikacjach pobranych ze sklepu Google Play oraz zewnętrznych sklepów z aplikacjami.

Rodzina złośliwych aplikacji znana jako „Schoolyard Bully Trojan” udaje legalne programy edukacyjne z szeroką gamą tekstów do czytania. Złośliwy kod ukryty w aplikacjach pozwala im kraść dane uwierzytelniające Facebooka i przesyłać je do serwera C&C cyberprzestępców. Mimo iż aplikacje te zostały już usunięte ze Sklepu Google Play, przez cały czas są dostępne na witrynach z aplikacjami firm trzecich.

Jakie możliwości ma Schoolyard Bully?

Facebook dociera w tej chwili do prawie 2,96 miliarda użytkowników i pozostaje największą platformą mediów społecznościowych na świecie. Atakujący, dzięki temu, iż wykorzystują trojana Schoolyard Bully w celu uzyskania nieautoryzowanego dojścia do danych uwierzytelniających, odnoszą też sukcesy w uzyskiwaniu dostępu do kont finansowych. Wszystko dlatego, iż prawie 64% osób używa tych samych haseł, które zostały ujawnione podczas poprzedniego naruszenia.

Trojan Schoolyard Bully może ukraść następujące informacje z konta na Facebooku niczego niepodejrzewających ofiar:

  • adres e-mail / numer telefonu,
  • hasło,
  • ID,
  • nazwa.

Jak działa ten trojan?

Trojan Schoolyard Bully działa w ukryciu i podszywa się pod aplikacje edukacyjne, których docelowymi odbiorcami są głównie wietnamscy czytelnicy. Poniżej znajduje się przykładowy zrzut ekranu z takiej aplikacji. Jasno wynika z niego, w jaki sposób osoby atakujące wykorzystują niepodejrzane działania do atakowania swoich ofiar. Aktywność logowania do Facebooka znajduje się w opcji czatu.

Jeden z ekranów powitalnych złośliwej aplikacji; źródło: zimperium.com

Trojan wykorzystuje wstrzykiwanie Javascript w celu kradzieży danych uwierzytelniających z Facebooka. Malware otwiera prawidłowy adres URL w WebView ze wstrzykniętym złośliwym skryptem Javascript celem wyodrębnienia numeru telefonu użytkownika, adresu e-mail i hasła, a następnie wysyła go do skonfigurowanego serwera Firebase C&C.

JavaScript jest wstrzykiwany do WebView przy użyciu metody evaluateJavascript, jak pokazano powyżej. Kod Javascript wyodrębnia wartości elementów o identyfikatorach m_login_email i m_login_password, które są symbolami zastępczymi dla numeru telefonu, adresu e-mail i hasła – zrzut poniżej.

Złośliwe oprogramowanie wykorzystuje biblioteki natywne, aby ukryć się przed większością znanych antywirusów. Trojan posługuje się tą samą techniką z biblioteką o nazwie libabc.so do przechowywania danych przygotowanych do przesłania na C&C. Dane są dodatkowo kodowane, aby ukryć wszystkie ciągi znaków przed mechanizmami wykrywania.

Aby dane zostały zdekodowane, są one po prostu dzielone przez 3, a zwracany łańcuch jest konwertowany z binarnego na ASCII/UTF-8. Zdekodowane dane to obiekt JSON, który może być już poddany analizie.

Wysłany komplet danych o ofierze do serwera atakującego zawiera:

  • nazwę profilu na Facebooku,
  • identyfikator Facebooka,
  • adres e-mail/numer telefonu na Facebooku,
  • hasło do Facebooka,
  • nazwę urządzenia mobilnego,
  • interfejs api urządzenia,
  • pamięć ram urządzenia.

Podsumowanie

Badacze Zimperium zLabs zajmowali się wcześniej kampanią nazwaną FlyTrap, w ramach której wykryto kilka aplikacji stworzonych i dystrybuowanych przez wietnamskich cyberprzestępców. Kampania trojana Schoolyard Bully ujawnia wspólny interes, polegający na wykorzystywaniu wietnamskich czytelników. Na podstawie różnic wykrytych w próbkach kodu specjaliści ustalili jednak, iż w obu kampaniach cyberprzestępcy to inne osoby, działające niezależnie od siebie.

Chociaż główną grupą ofiar są użytkownicy z Wietnamu, zespół ds. zagrożeń mobilnych Zimperium zLabs znalazł ponad 300 000 ofiar w 71 krajach, co ilustruje szerszy zasięg geograficzny tej kampanii. Rzeczywista liczba państw może być większa niż uwzględniono, ponieważ aplikacje przez cały czas są dostępne do pobrania w nieoficjalnych dystrybucjach.

Źródło: zimperium.com
Idź do oryginalnego materiału