Troyano Schoolyard Bully detectado en Playstore
Descripción
Un troyano, llamado Schoolyard Bully, fue detectado por Zimperium zLabs dentro de múltiples aplicaciones de la Google Play Store. Disfrazado de aplicaciones educativas permitía descargar una amplia gama de libros infectados cuyo fin era robar las credenciales de Facebook de las víctimas. Aparentemente este malware ha estado presente en aplicaciones desde el año 2018 y se calculan más de 300,000 víctimas.
Este troyano extrae múltiples datos de las cuentas de facebook del usuario como son:
- Correo electrónico o número de teléfono
- Contraseña
- Identificador del usuario
- Nombre
Debido a que aproximadamente un 64% de los usuarios reutilizan contraseñas, se ha tenido gran éxito al poder acceder a correos electrónicos y recientemente se ha utilizado este malware para acceder a cuentas financieras como pueden ser aplicaciones bancarias.
Este troyano utiliza la inyección de javacript para robar las credenciales de Facebook. El troyano abre la URL legítima dentro de un WebView con el javascript malicioso inyectado para extraer el correo electrónico o número de teléfono y la contraseña del usuario.
Como se puede observar se extraen los datos de los campos m_login_email y m_login_password.
El malware utiliza bibliotecas nativas del sistema para ocultarse de loa mayoría de los algoritmos utilizados por antivirus. Este troyano utiliza la biblioteca nativa llamada libabc.so para almacenar los datos del C&C. Los datos tienen ademas una capa extra de codificación para evitar que mediante un análisis de cadenas puedan ser detectadas.
Como se puede observar, los datos del archivo es una cadena compuestas por 0's, 1's y 3's por lo que al separar la cadena por los caracteres '3' y al manejar cada subcadena como numero binario, al pasar este numero binario a ASCII se obtiene un JSON con los datos de los servidores en los que se almacenan los datos.
Se identificaron los siguientes servidores Firebase C&C configurados:
- https://bigdata-habn.firebaseio.com
- https://bigdata2-habn.firebaseio.com
- https://bigdata3-habn.firebaseio.com
A pesar de que este malware se ha encontrado principalmente en aplicaciones vietnamitas, ha llegado a afectar a 71 paises diferentes.
Los paquetes y aplicaciones en los que se ha identificado este troyano son:
| Nombres de paquetes | Nombres de aplicaciones |
| com.manual.class8 | Cẩm Nang Lớp 8 Desconectado – Giải Bài Tập & Ôn Luyện |
| com.handbook.class7 | Cẩm Nang Lớp 7 Desconectado – Giải Bài Tập & Ôn Luyện |
| com.handbook.class9 | Cẩm Nang Lớp 9 Desconectado – Giải Bài Tập & Ôn Luyện |
| com.handbook.dia | Cẩm Nang Địa Lý Desconectado – Giải Bài Tập & Ôn Luyện |
| com.handbook.class11 | Cẩm Nang Lớp 11 Desconectado – Giải Bài Tập & Ôn Luyện |
| com.habn.giaibaitap7 | Giải Bài Tập 7 Desconectado Toán Văn Anh Lý Sinh Sử Địa |
| com.handbook.ly | Cẩm Nang Vật Lý Desconectado – Giải Bài Tập & Ôn Luyện |
| com.handbook.class12 | Cẩm Nang Lớp 12 Desconectado – Giải Bài Tập & Ôn Luyện |
| com.manual.sinh | Cẩm Nang Sinh Học Desconectado – Giải Bài Tập &Ôn Luyện |
| com.handbook.soanvan | Cẩm Nang Ngữ Văn Desconectado – Soạn Văn & Văn Mẫu |
| com.habn.giaibaitaptoan | Giải Toán 6,7,8,9,10,11,12 |
| com.habn.giaibaitaptin | Giải Tin Học 6,7,8,9,10,11,12 |
| com.habn.giaibaitap6 | Giải Bài Tập 6 Desconectado Toán Văn Anh Lý Sinh Sử Địa |
| com.habn.webtruyen | Mê Đọc Truyện |
| com.habn.giaibaitap10 | Giải Bài Tập 10 Desconectado Toán Văn Anh Lý Hóa Sử Địa |
| com.habn.giaibaitapdia | Giải Địa Lý 6,7,8,9,10,11,12 |
| com.habn.giaibaitapsinh | Giải Sinh Học 6,7,8,9,10,11,12 |
| com.habn.giaibaitapsu | Giải Lịch Sử 6,7,8,9,10,11,12 |
| com.habn.sstruyen | Mọt Truyện |
| com.habn.storyngontinh | Yêu Đọc Truyện Ngôn Tình Tiên Hiệp En línea Sin conexión |
| com.habn.giaibaitapcongnghe | Giải Công Nghệ 6,7,8,9,10,11,12 |
| com.habn.audio | Nghe Truyện Ngắn, Ngôn Tình, Kiếm Hiệp Audio Hay |
| com.habn.giaibaitaply | Giải Vật Lý 6,7,8,9,10,11,12 |
| com.habn.giaibaitap9 | Giải Bài Tập 9 Desconectado Toán Văn Anh Lý Sinh Sử Địa |
| com.habn.giaibaitap12 | Giải Bài Tập 12 Desconectado Toán Văn Anh Lý Hóa Sử Địa |
| com.habn.giaibaitapenglish | Giải Tiếng Anh 6,7,8,9,10,11,12 |
| com.habn.giaibaitap3 | Giải Bài Tập 3 Desconectado Toán Văn Anh |
| com.habn.giaibaitap4 | Giải Bài Tập 4 Desconectado Toán Văn Anh Sử Địa |
| com.habn.giaibaitap8 | Giải Bài Tập 8 Desconectado Toán Văn Anh Lý Sinh Sử Địa |
| com.habn.giaibaitap11 | Giải Bài Tập 11 Desconectado Toán Văn Anh Lý Hóa Sử Địa |
| com.handbook.class10 | Cẩm Nang Lớp 10 Desconectado – Giải Bài Tập & Ôn Luyện |
| com.habn.soanvan | Soạn Van 6,7,8,9,10,11,12 |
| com.habn.giaibaitaphoa | Giải Hóa Học 8,9,10,11,12 |
| com.handbook.english | Cẩm Nang Tiếng Anh Desconectado – Giải Bài Tập Ôn Luyện |
| com.handbook.su | Cẩm Nang Lịch Sử Desconectado – Giải Bài Tập & Ôn Luyện |
| com.handbook.hoa | Cẩm Nang Hóa Học Desconectado – Giải Bài Tập & Ôn Luyện |
| com.handbook.class6 | Cẩm Nang Lớp 6 – Giải Bài Tập & Trắc Nghiệm |
Solución
- Instalar antivirus dentro de los dispositivos móviles y mantenerlos actualizados.
- Realizar cambios periódicos de las contraseñas utilizadas, así como utilizar contraseñas distintas en cada servicio.
Liberación original: Lunes, 12 Diciembre 2022