Uma campanha de malware para Android disfarçada de aplicativos de leitura e educação está em andamento desde 2018, tentando roubar credenciais de contas do Facebook de dispositivos infectados.
De acordo com novo relatório da Zimperium, a campanha infectou pelo menos 300.000 dispositivos em 71 países, com foco principal no Vietnã.
Leia mais:
- Superbactérias: Europa registra 35 mil mortes por resistência a antibióticos
- Primeira linhagem da tuberculose ainda está circulando, descobrem cientistas
- Maioria dos internados por Covid-19 no Brasil é idosa ou está com vacinação atrasada
Alguns aplicativos usados para espalhar o trojan, que o Zimperium chamou de ‘Schoolyard Bully’, estavam anteriormente no Google Play, mas foram removidos. No entanto, o Zimperium alerta que os aplicativos continuam sendo espalhados por lojas de aplicativos Android de terceiros.
Um valentão do pátio da escola
O malware Schoolyard Bully recebe esse nome por se disfarçar de aplicativos educacionais inofensivos e até benéficos.
No entanto, o principal objetivo do ‘alware é roubar as credenciais da conta do Facebook (e-mail e senha), ID da conta, nome de usuário, nome do dispositivo, RAM e API do dispositivo.
O trojan rouba esses detalhes abrindo uma página de login legítima do Facebook dentro do aplicativo usando o WebView e injetando JavaScript malicioso para extrair as entradas do usuário.
“O Javascript é injetado no WebView usando o método ‘evaluateJavascript'”, explica Zimperium. “O código extrai o valor dos elementos com ‘ids m_login_email’ e ‘m_login_password’, que são espaços reservados para o número de telefone, endereço de e-mail e senha”.
Além disso, o malware usa bibliotecas nativas para ocultar seu código malicioso de software de segurança e ferramentas de análise.
Vítimas e atribuição do malware
Zimperium diz que detectou esse malware em 300.000 vítimas em 71 países com base em seus dados de telemetria.
Além disso, como os 37 aplicativos associados a esta campanha são distribuídos por meio de lojas de aplicativos de terceiros, o número de vítimas provavelmente é muito maior, pois não há uma maneira confiável de medir a contagem de vítimas nessas plataformas.
A empresa também alerta que provavelmente há mais aplicativos além daqueles que seus pesquisadores descobriram por trás desta campanha.
Os atores da ameaça por trás do trojan Schoolyard Bully são desconhecidos, mas os analistas conseguiram determinar que o malware não está associado à operação FlyTrap , que também tentou roubar contas do Facebook e se concentrou no Vietnã.
Já assistiu aos novos vídeos no YouTube do Olhar Digital? Inscreva-se no canal!
Tags: