Zimperium, Sicherheitsexperte für Echtzeitschutz auf Mobilgeräten, hat Informationen über eine neu entdeckte Android-Kampagne veröffentlicht, die bereits seit 2018 die Facebook-Anmeldedaten von kompromittierten Nutzern raubt.
Das Zimperium zLabs Threat Research Team hat vor kurzem den Android-Trojaner „Schoolyard Bully“ aufgespürt, der in zahlreichen Bildungsanwendungen anzutreffen ist und bisher von mehr als 300.000 betroffenen Nutzern heruntergeladen wurde.
Anwendungen, die das gefährliche Trojanerprogramm installieren, wurden mittlerweile aus dem Google Play Store entfernt, sind aber weiterhin in App-Stores von Drittanbietern verfügbar. Die Applikationen tarnen sich zumeist als legitime Bildungsanwendungen mit einer breiten Auswahl an Büchern und Themen für Schüler. Zugleich greifen die harmlos wirkenden Anwendungen sensible Informationen wie Benutzernamen, E-Mail-Adressen, Telefonnummern und Passwörter ab.
Der Trojaner „Schoolyard Bully“ zielt in erster Linie auf vietnamesische Sprachanwendungen ab, wurde aber bereits in 71 Ländern angetroffen, was die weitreichenden Auswirkungen der Angriffskampagne verdeutlicht. Die tatsächliche Anzahl der Länder, in denen Schoolyard Bully aktiv ist, könnte sogar noch höher sein und weiter zunehmen, da die betreffenden Anwendungen noch in vielen App-Stores von Drittanbietern anzutreffen sind.
Die Malware verwendet plattformspezifische Dateien, um sich vor gängigen Antiviren- und Machine-Learning-Tools zur Virenerkennung zu verstecken. Dafür wird die native Bibliothek „libabc.so“ mit den entsprechenden Befehls- und Steuerungsdaten eingerichtet. Die erforderlichen Daten werden verschlüsselt übertragen, um alle Strings vor Erkennungsmechanismen verbergen zu können.
„Angreifer können sehr viel Chaos anrichten, wenn sie in den Besitz von Facebook-Passwörtern kommen. Geben sie sich über ein legitimes Konto als jemand anderes aus, fällt es leichter, Facebook-Freunde zur Weitergabe von Geld oder sensiblen Daten zu verleiten“, bemerkte Richard Melick, Director Mobile Threat Intelligence bei Zimperium. „Große Sorgen bereitet auch die gängige Praxis, dass viele Personen die gleichen Passwörter für unterschiedliche Konten verwenden. Wenn ein Angreifer das Facebook-Passwort einer anderen Person stiehlt, ist die Wahrscheinlichkeit hoch, dass die gleiche E-Mail- und Passwort-Kombination auch bei Bank- oder Finanz-Apps sowie Unternehmenskonten funktioniert.“
Weitere Informationen zur Spyware „Schoolyard Bully“ sowie Bildmaterial und eine detaillierte Beschreibung der Funktionsweise des Schadprogramms sind hier verfügbar.
www.zimperium.com