Desde 2018 uma campanha de malware para Android disfarçada de aplicativos de leitura e educação, está tentando roubar credenciais de contas do Facebook de dispositivos infectados. Segundo o relatório da Zimperium, a campanha infectou pelo menos 300.000 dispositivos em 71 países, com foco principal no Vietnã.
Anteriormente no Google Play, tinha alguns aplicativos usados para espalhar o trojan, que o Zimperium chamou de ‘Schoolyard Bully’, mas já foram removidos. Mas o Zimperium alerta que os aplicativos continuam sendo espalhados por lojas de aplicativos Android de terceiros.
Um valentão do pátio da escola
Nomeado como Schoolyard Bully, o malware recebeu esse nome por se disfarçar de aplicativos educacionais inofensivos e até benéficos. Porem seu principal objetivo do ‘malware é roubar as credenciais da conta do Facebook (e-mail e senha), ID da conta, nome de usuário, nome do dispositivo, RAM e API do dispositivo.
O trojan rouba esses detalhes abrindo uma página de login legítima do Facebook no aplicativo usando o WebView e injetando JavaScript malicioso para extrair as entradas do usuário.
“O Javascript é injetado no WebView usando o método ‘evaluateJavascript. O código extrai o valor dos elementos com ‘ids m_login_email’ e ‘m_login_password’, que são espaços reservados para o número de telefone, endereço de e-mail e senha” explica Zimperium.
O malware usa bibliotecas nativas para ocultar seu código malicioso de software de segurança e ferramentas de análise.
Vítimas e atribuição do malware
Com base em seus dados de telemetria, a Zimperium diz que detectou esse malware em 300.000 vítimas em 71 países.
Como os 37 aplicativos associados a esta campanha são distribuídos por meio de lojas de aplicativos de terceiros, o número de vítimas provavelmente é muito maior, pois não há uma maneira confiável de medir a contagem de vítimas nessas plataformas.
A empresa alerta que provavelmente há mais aplicativos além daqueles que seus pesquisadores descobriram por trás desta campanha. Os atores da ameaça por trás do trojan Schoolyard Bully são desconhecidos, mas os analistas conseguiram determinar que o malware não está associado à operação FlyTrap , que tentou roubar contas do Facebook e se concentrou no Vietnã.
