Android

読書アプリや教育アプリを装った Android マルウェア キャンペーンが 2018 年から進行しており、感染したデバイスから Facebook アカウントの資格情報を盗もうとしています。

Zimperium の新しいレポートによると、キャンペーンは主にベトナムを中心に 71 か国で少なくとも 300,000 台のデバイスに感染しました。

犠牲者の地図
犠牲者の地図(Zimperium)

Zimperium が「Schoolyard Bully」と名付けたトロイの木馬の拡散に使用された一部のアプリは、以前は Google Play にありましたが、その後削除されました。

ただし、Zimperium は、サードパーティの Android アプリ ストアを通じてアプリが拡散し続けていると警告しています。

校庭のいじめっ子

Schoolyard Bully マルウェアは、無害で有益な教育アプリを装うことからその名前が付けられました。

ただし、マルウェアの主な目的は、Facebook アカウントの資格情報 (電子メールとパスワード)、アカウント ID、ユーザー名、デバイス名、デバイス RAM、およびデバイス API を盗むことです。

トロイの木馬アプリと Facebook ログイン
トロイの木馬アプリと Facebook ログイン プロンプト(Zimperium)

トロイの木馬は、WebView を使用してアプリ内で正当な Facebook ログイン ページを開き、悪意のある JavaScript を挿入してユーザー入力を抽出することにより、これらの詳細を盗みます。

「Javascript は ‘evaluateJavascript’ メソッドを使用して WebView に挿入されます」 と Zimperium は説明します

「javascript コードは、電話番号、電子メール アドレス、およびパスワードのプレースホルダーである「ids m_login_email」および「m_login_password」を持つ要素の値を抽出します。

挿入された JavaScript
注入された JavaScript (Zimperium)

さらに、マルウェアはネイティブ ライブラリを使用して、セキュリティ ソフトウェアや分析ツールから悪意のあるコードを隠します。

犠牲者と帰属

Zimperium は、テレメトリ データに基づいて、71 か国の 300,000 人の被害者からこのマルウェアを検出したと述べています。

また、このキャンペーンに関連する 37 個のアプリはサードパーティのアプリ ストア経由で配布されているため、これらのプラットフォームで被害者数を測定する信頼できる方法がないため、被害者の数はより多い可能性があります。

Zimperium はまた、同社の研究者がこのキャンペーンの背後で発見したものに加えて、さらに多くのアプリが存在する可能性があると警告しています。

Schoolyard Bully トロイの木馬の背後にいる攻撃者は不明ですが、アナリストは、このマルウェアが FlyTrap 作戦と関連していないと判断できました。FlyTrap 作戦も Facebook アカウントを盗もうとし、ベトナムに焦点を当てていました。