I ricercatori scoprono il malware Android “Schoolyard Bully” che ruba gli accessi a Facebook di 300.000 utenti
I ricercatori di sicurezza della società di sicurezza mobile Zimperium hanno scoperto una variante del malware Android nel Google Play Store e negli app store di terze parti che prende di mira gli accessi Facebook delle vittime. Il malware soprannominato “Schoolyard Bully” si è diffuso a oltre 300.000 vittime in oltre 71 paesi.
Le app “Schoolyard Bully Trojan” si presentano come app educative legittime che offrono libri gratuiti su vari argomenti. Tuttavia, includono un’opzione di autenticazione che apre una pagina di accesso Facebook legittima a una visualizzazione Web iniettata con codice JavaScript dannoso. Il codice acquisisce il numero di telefono, l’indirizzo e-mail e la password dell’utente e invia i dati al server di comando e controllo (C2) degli attori delle minacce configurato in Firebase.
“Il codice dannoso è nascosto all’interno di queste app, ma in realtà sono in grado di rubare le credenziali di Facebook per caricarle su Firebase C&C dagli attori”, hanno scritto i ricercatori in un post sul blog.
Il malware Android utilizza librerie native per nascondersi dall’antivirus
Secondo i ricercatori di Zimperium zLabs, il malware Android utilizza librerie native per eludere le soluzioni software antivirus che utilizzano il rilevamento dei virus tramite machine learning. Inoltre, le app dannose utilizzano tattiche simili come la libreria nativa libabc.so per archiviare gli accessi Facebook rubati e le stringhe di codifica per evitare il rilevamento. Forniscono anche materiale didattico in file ZIP protetti da password con password e dettagli utente rubati archiviati nella libreria libabc.so.
Il malware Android prende di mira gli accessi a Facebook (e-mail/numero di telefono e password), gli ID utente e i nomi dei profili degli account Facebook compromessi e le informazioni relative al dispositivo come il nome del dispositivo, la RAM e l’API .
Sebbene il malware Schoolyard Bully si rivolga principalmente agli utenti Android in Vietnam, i ricercatori Zimperium hanno trovato la campagna di minaccia Android in 71 paesi. Zimperium ha anche identificato almeno 37 app che sono state rimosse dal Google Play Store ma sono ancora presenti negli store di terze parti.
Secondo la società di intelligence sulle minacce, la campagna contro il malware Android è attiva dal 2008.
“Sebbene Google abbia migliorato le sue difese di scansione del malware sul Google Play Store, app dannose come questa continuano a scivolare attraverso lo store, raccogliendo migliaia o addirittura milioni di download prima di scoprire i loro payload dannosi”, ha affermato Chris Hauk, campione della privacy dei consumatori presso Pixel Privacy. “Sebbene app come questa possano ancora causare problemi nello store, è ancora più sicura del sideload di app sul tuo dispositivo Android da fonti esterne.”
Hauk consiglia agli utenti Android di eseguire periodicamente software antivirus e anti-malware per rilevare app dannose: “Uso personalmente Malwarebytes, ma sono disponibili diverse suite di sicurezza di alta qualità per dispositivi Android”, ha affermato. “La scansione alla ricerca di malware può aiutare gli utenti Android a scoprire app dannose precedentemente sconosciute che potrebbero essere installate sui loro dispositivi.”
Gli attori delle minacce compromettono gli account finanziari utilizzando accessi Facebook rubati
I ricercatori avvertono che gli autori delle minacce possono abusare delle credenziali dell’account Facebook rubato per accedere ai conti finanziari delle vittime. L’impatto degli accessi Facebook rubati è significativo perché gli utenti possono accedere ad altri servizi online utilizzando i propri account di social media, mentre il 64% degli utenti riutilizza le password trapelate in precedenti violazioni.
Tuttavia, i ricercatori non sono stati in grado di identificare l’autore della minaccia dietro la campagna di malware Android, ma hanno scoperto una campagna simile chiamata FlyTrap condotta da attori delle minacce vietnamite.
“Tuttavia, i nostri ricercatori hanno stabilito che gli attori delle minacce delle due campagne erano diversi e operavano in modo indipendente sulla base delle differenze riscontrate nei campioni di codice”, hanno suggerito.
Zimperium zLabs pubblica un elenco di indicatori di compromissione (IoC) per assistere utenti e ricercatori nel rilevare e isolare le varianti del malware Android.
Secondo Paul Bischoff, sostenitore della privacy di Comparitech, il gigante dei social media non può fare nulla per proteggere gli utenti Android che installano app che rubano gli accessi a Facebook.
“Se installi un’app dannosa per il furto di informazioni sul tuo dispositivo, Facebook non può fare nulla per proteggere il tuo account dall’hacking”, ha affermato Bischoff. “Anche se questo è un attacco agli utenti di Facebook, non sfrutta una vulnerabilità di Facebook”.
Bischoff consiglia agli utenti di abilitare l’autenticazione a più fattori per impedire agli hacker di impossessarsi dei loro account se i loro accessi a Facebook sono compromessi. Bischoff ha anche consigliato agli utenti Android di evitare gli app store di terze parti e di scaricare app solo dal Google Play Store.
“Google Play controlla tutte le app caricate su di esso e si assicura che tu stia ricevendo la versione reale e più recente, al contrario di una versione vulnerabile precedente o di una versione danneggiata da malware. Google Play non è perfetto: le app di Google Play sono state infettate da Schoolyard Bully, ma è migliore delle alternative e agisce rapidamente quando viene notificata un’app dannosa”.
