Android smartfónmi lomcuje trójsky kôň. Ukradol statisíce prihlasovacích údajov do Facebooku. Vyčíňa aj u nás!
Kampaň podvodníkov „Schoolyard Bully Trojan“ je aktívnou aj u nás. Hackeri doposiaľ ukradli cez 300-tisíc prihlasovacích údajov do Facebooku.
Kybernetické útoky pribúdajú ako huby po daždi. Len včera sme upozorňovali na podvodnú SMS aplikáciu, ktorá na pozadí registruje používateľov bez ich vedomia do rôznych služieb ako je Telegram, Amazon, Facebook a ďalšie.
Dnes tu máme ďalší obdobný útok hackerov. Na nového trójskeho koňa upozorňujú analytici zo zimperium.com. Tento trójsky kôň je o to nebezpečnejší, že vyčíňa i v našom regióne, hovoria analytici.
Hackerská kampaň „Schoolyard Bully Trojan“
Bezpečnostní experti zistili, že podvodníci sú aktívni už od roku 2018. Kampaň hackerov nazvali „Schoolyard Bully Trojan“ a to z dôvodu, že trójsky kôň bol umiestnený najmä vo vzdelávacích aplikáciách. Cieľom útočníkov boli v tomto prípade hlavne prihlasovacie údaje používateľov na Facebooku, ktoré chceli získať. A vo veľkej miere, sa im to aj podarilo. Podľa všetkého najmenej 300-tisíc používateľov sa stalo obeťou podvodníkov.
„Kampaň sa rozšírila na viac ako 300 000 obetí a špecificky sa zameriava na prihlasovacie údaje na Facebooku. Trójsky kôň Schoolyard Bully bol nájdený v mnohých aplikáciách, ktoré boli stiahnuté z Obchodu Google Play a obchodov s aplikáciami tretích strán.“
Analytici vysvetľujú, že hackeri trojského koňa schovali za legitímne vzdelávacie aplikácie vrátane kníh. Útočníci následne odosielali údaje z telefónu používateľa na server tretej strany. Ďalej hovoria, že hoci z obchodu Play boli už škodlivé aplikácie odstránené, tak stále sú dostupné v obchodoch tretích strán.
„Takmer 64 % jednotlivcov používa rovnaké heslo, ktoré bolo odhalené pri predchádzajúcom porušení. Vzhľadom na percento používateľov, ktorí recyklujú heslá, nie je prekvapením, že trójsky kôň Schoolyard Bully je aktívny už roky.“
Hackeri sa pri šírení tejto kampane snažia získať najmä údaje, ako sú – Email / Telefónne číslo, heslo ID používateľa a jeho meno. Ak sa pýtate, na čo sú im tieto dáta, tak podvodníci ich využívajú neskôr pre šírenie cieleného phishingu.
Neprehliadnite
„Tento trójsky kôň používa injekciu Javascript na odcudzenie poverení Facebooku. Trójsky kôň otvorí legitímnu adresu URL vo WebView so škodlivým javascriptom vloženým na extrakciu telefónneho čísla, e-mailovej adresy a hesla používateľa a potom ich odošle do nakonfigurovaného Firebase C&C.“, vysvetľujú experti, ako funguje trójsky kôň.
Škodlivý kód zobrazí obrazovku, ako môžete vidieť nižšie. Následne extrahuje hodnotu prvkov s ids m_login_email a m_login_password, ktoré sú zástupnými symbolmi pre telefónne číslo, e-mailovú adresu a heslo.
Malvér používa natívne knižnice (pozn. redakcie: ide nástroje pre vývojárov), aby sa skryl pred väčšinou antivírusových programov. Dáta sú ďalej kódované, aby sa skryli všetky reťazce pred akýmikoľvek detekčnými mechanizmami. To robí zo škodlivého kódu pomerne sofistikovaný trojský kôň.
Trójsky kôň vyčíňa v najmenej 71 krajinách
Analytici sa takisto pozreli aj na krajiny, kde sa im podarilo identifikovať trójskeho koňa. Vyčíňa naprieč 71 krajinami sveta, medzi ktorými nechýba ani Slovensko.
„Tím mobilných hrozieb Zimperium zLabs našiel viac ako 300 000 obetí v 71 krajinách, čo ilustruje širší geografický dosah tejto kampane.“, vysvetľujú výskumníci.
Analytici v závere ale dodávajú, že záber útočníkov môže byť oveľa širší, ako sa im podarilo odhaliť, pretože aplikácie sa stále nachádzajú v obchodoch s aplikáciami tretích strán. Vo všeobecnosti preto odporúčajú, aby sme sa vyhýbali aplikáciám dostupným z iných zdrojov, ako je Google Play, hoci i tam môže prekĺznuť škodlivý softvér.
Komentáre