La società di sicurezza mobile Zimperium ha recentemente emesso un avviso su un trojan chiamato “Schoolyard Bully“, che si sta mascherando attivamente come un’applicazione educativa su Facebook.
Sebbene questo trojan sia attivo dal 2018, ruba principalmente le credenziali dell’account Facebook.
A partire da ora, la campagna ha infettato dispositivi in oltre 71 paesi, con la maggior parte delle infezioni provenienti dal Vietnam. Finora sono stati segnalati più di 300.000 devices infetti.
Questo malware è stato rimosso dal Google Play Store ufficiale dopo essere stato scoperto. Poiché esistono ancora app store di terze parti che offrono queste applicazioni, ciò potrebbe significare che il numero effettivo di paesi è maggiore di quello che è stato dichiarato.
Come agisce
Il Trojan Schoolyard Bully viene utilizzato dagli hackers per ottenere l’accesso a informazioni sensibili utilizzando credenziali non autorizzate.
Quasi il 64% delle persone utilizza la stessa password un pò ovunque. Con la percentuale di utenti che riciclano le password, non sorprende che Schoolyard Bully Trojan sia attivo da anni.
A causa dell’elevato tasso di persone che riciclano le loro vecchie password, il trojan è rimasto attivo per anni senza essere rilevato.
Quando Schoolyard Bully Trojan infetta un’account Facebook di un utente, ottiene la capacità di rubare le seguenti informazioni:
- Nome sul profilo Facebook
- Facebook ID
- E-mail/numero di telefono di Facebook
- Password Facebook
- Nome del dispositivo
- API del dispositivo
- RAM del dispositivo
In questa campagna, sono stati colpiti principalmente account vietnamiti tramite l’iniezione di un codice JavaScript malevolo. Per rubare le informazioni private dell’utente, il Trojan apre l’URL legittimo all’interno di una webview che estrae i dati dell’utente dal browser.