 |
Una campaña de malware para Android que se hace pasar por apps de lectura y educación lleva en marcha desde 2018 e intenta robar las credenciales de cuentas de Facebook de los dispositivos infectados. |
Según un nuevo informe de Zimperium, la campaña ha infectado al menos 300.000 dispositivos en 71 países, centrándose principalmente en Vietnam.
Mapa de víctimas (Zimperium)
Algunas de las aplicaciones utilizadas para propagar el troyano, que Zimperium ha bautizado como "Schoolyard Bully", se encontraban anteriormente en Google Play, pero ya han sido eliminadas.
Sin embargo, Zimperium advierte de que las aplicaciones siguen propagándose a través de tiendas de aplicaciones para Android de terceros.
El malware Schoolyard Bully debe su nombre a que se hace pasar por aplicaciones educativas inofensivas e incluso beneficiosas.
Sin embargo, el objetivo principal del 'malware es robar las credenciales de la cuenta de Facebook (correo electrónico y contraseña), el ID de la cuenta, el nombre de usuario, el nombre del dispositivo, la RAM del dispositivo y la API del dispositivo.
El troyano roba estos datos abriendo una página de inicio de sesión legítima de Facebook dentro de la aplicación utilizando WebView e inyectando Javascript malicioso para extraer las entradas del usuario.
"Javascript se inyecta en la WebView utilizando el método 'evaluateJavascript'", explica Zimperium.
"El código javascript extrae el valor de los elementos con 'ids m_login_email' y 'm_login_password', que son marcadores de posición para el número de teléfono, la dirección de correo electrónico y la contraseña".
Inyección de JavaScript (Zimperium)
Además, el malware utiliza bibliotecas nativas para ocultar su código malicioso del software de seguridad y las herramientas de análisis.
Víctimas y atribución
Zimperium afirma haber detectado este malware en 300.000 víctimas de 71 países basándose en sus datos de telemetría.
Además, dado que las 37 aplicaciones asociadas a esta campaña se distribuyen a través de tiendas de aplicaciones de terceros, es probable que el número de víctimas sea mayor, ya que no existe una forma fiable de medir el número de víctimas en estas plataformas.
Zimperium también advierte que es probable que haya más aplicaciones además de las que sus investigadores descubrieron detrás de esta campaña.
Los atacantes detrás del troyano Schoolyard Bully son desconocidos, pero los analistas pudieron determinar que el malware no está asociado con la operación FlyTrap, que también intentó robar cuentas de Facebook y se centró en Vietnam.