Trojan podstępnie kradnący poświadczenia kont na Facebooku

Rodzina złośliwych aplikacji znana jako „Schoolyard Bully Trojan” udaje legalne programy edukacyjne z szeroką gamą tekstów do czytania. Złośliwy kod ukryty w aplikacjach pozwala im kraść dane uwierzytelniające Facebooka i przesyłać je do serwera C&C cyberprzestępców. Mimo że aplikacje te zostały już usunięte ze Sklepu Google Play, nadal są dostępne na witrynach z aplikacjami firm trzecich.

Jakie możliwości ma Schoolyard Bully?

Facebook dociera obecnie do prawie 2,96 miliarda użytkowników i pozostaje największą platformą mediów społecznościowych na świecie. Atakujący, dzięki temu, że wykorzystują trojana Schoolyard Bully w celu uzyskania nieautoryzowanego dojścia do danych uwierzytelniających, odnoszą też sukcesy w uzyskiwaniu dostępu do kont finansowych. Wszystko dlatego, że prawie 64% osób używa tych samych haseł, które zostały ujawnione podczas poprzedniego naruszenia.

Trojan Schoolyard Bully może ukraść następujące informacje z konta na Facebooku niczego niepodejrzewających ofiar:

• adres e-mail / numer telefonu,
• hasło,
• ID,
• nazwa.

Jak działa ten trojan?

Trojan Schoolyard Bully działa w ukryciu i podszywa się pod aplikacje edukacyjne, których docelowymi odbiorcami są głównie wietnamscy czytelnicy. Poniżej znajduje się przykładowy zrzut ekranu z takiej aplikacji. Jasno wynika z niego, w jaki sposób osoby atakujące wykorzystują niepodejrzane działania do atakowania swoich ofiar. Aktywność logowania do Facebooka znajduje się w opcji czatu.

Trojan wykorzystuje wstrzykiwanie Javascript w celu kradzieży danych uwierzytelniających z Facebooka. Malware otwiera prawidłowy adres URL w WebView ze wstrzykniętym złośliwym skryptem Javascript celem wyodrębnienia numeru telefonu użytkownika, adresu e-mail i hasła, a następnie wysyła go do skonfigurowanego serwera Firebase C&C.

JavaScript jest wstrzykiwany do WebView przy użyciu metody evaluateJavascript, jak pokazano powyżej. Kod Javascript wyodrębnia wartości elementów o identyfikatorach m_login_email i m_login_password, które są symbolami zastępczymi dla numeru telefonu, adresu e-mail i hasła – zrzut poniżej.

Złośliwe oprogramowanie wykorzystuje biblioteki natywne, aby ukryć się przed większością znanych antywirusów. Trojan posługuje się tą samą techniką z biblioteką o nazwie libabc.so do przechowywania danych przygotowanych do przesłania na C&C. Dane są dodatkowo kodowane, aby ukryć wszystkie ciągi znaków przed mechanizmami wykrywania.

Aby dane zostały zdekodowane, są one po prostu dzielone przez 3, a zwracany łańcuch jest konwertowany z binarnego na ASCII/UTF-8. Zdekodowane dane to obiekt JSON, który może być już poddany analizie.

Wysłany komplet danych o ofierze do serwera atakującego zawiera:

• nazwę profilu na Facebooku,
• identyfikator Facebooka,
• adres e-mail/numer telefonu na Facebooku,
• hasło do Facebooka,
• nazwę urządzenia mobilnego,
• interfejs api urządzenia,
• pamięć ram urządzenia.

Podsumowanie

Badacze Zimperium zLabs zajmowali się wcześniej kampanią nazwaną FlyTrap, w ramach której wykryto kilka aplikacji stworzonych i dystrybuowanych przez wietnamskich cyberprzestępców. Kampania trojana Schoolyard Bully ujawnia wspólny interes, polegający na wykorzystywaniu wietnamskich czytelników. Na podstawie różnic wykrytych w próbkach kodu specjaliści ustalili jednak, że w obu kampaniach cyberprzestępcy to inne osoby, działające niezależnie od siebie.

Chociaż główną grupą ofiar są użytkownicy z Wietnamu, zespół ds. zagrożeń mobilnych Zimperium zLabs znalazł ponad 300 000 ofiar w 71 krajach, co ilustruje szerszy zasięg geograficzny tej kampanii. Rzeczywista liczba krajów może być większa niż uwzględniono, ponieważ aplikacje nadal są dostępne do pobrania w nieoficjalnych dystrybucjach.