Die Android-Malware Schoolyard Bully verteilt sich über mindestens 37 vermeintliche Bildungs-Apps und raubt Facebook-Konten von Schülern.
Die Malware „Schoolyard Bully“ bahnt sich über mindestens 37 verschiedene Anwendungen ihren Weg auf Android-Smartphones, um dort Facebook-Konten ihrer Opfer abzugreifen. Insbesondere in App-Stores von Drittanbietern sind diese auch weiterhin verfügbar.
Android-Malware greift seit 2018 massenhaft Facebook-Konten ab
Sicherheitsforscher haben eine Malware-Kampagne aufgedeckt, bei der Angreifer bereits seit 2018 Zugangsdaten zu Facebook-Konten von Android-Geräten stehlen. Die eingesetzte Schadsoftware gelangt über vermeintliche Lese- und Bildungs-Apps auf die Smartphones der Opfer, bei denen es sich demnach vorrangig um Schüler handelt.
Dem Bericht der Forscher von Zimperium zufolge liege der Schwerpunkt der Kampagne zwar auf Vietnam. Dennoch seien die mindestens 300.000 infizierten Geräte letztendlich weltweit auf 71 Länder verteilt.
Im Google Play Store seien die zur Verbreitung der Malware verwendeten Apps inzwischen nicht mehr zu finden. In App-Stores von Drittanbietern hingegen schon.
Der Datendieb hat einen Namen: Schoolyard Bully
WebView einer Bildungsanwendung
(Quelle: Zimperium)
Die Apps, die die „Schoolyard Bully“ genannte Malware auf die Smartphones der Schüler schleusen, tarnen sich als nützliche Bildungsanwendungen und machen auf den ersten Blick einen harmlosen Eindruck. Dennoch konnten die Sicherheitsforscher darin schadhaften Code identifizieren, der mitunter Anmeldeinformationen für Facebook-Konten abgreift.
Neben E-Mail-Adressen, Telefonnummern und Namen der Benutzer stiehlt Schoolyard Bully ebenso deren Konto-ID sowie ihr Passwort. Dafür zeigt die Anwendung einen Login zum Facebook-Konto innerhalb einer WebView. Ein durch die Methode „evaluateJavascript“ eingeschleuster bösartiger JavaScript-Code extrahiert schließlich die dort eingegebenen Zugangsdaten.
„Die Malware verwendet systemeigene Bibliotheken, um sich vor den meisten Antivirenprogrammen und Machine-Learning-basierten Virenerkennungen zu verstecken„, warnen die Forscher in ihrem Bericht. Die für die Kommunikation mit dem Command-and-Control-Server erforderlichen Daten seien außerdem „zusätzlich verschlüsselt, um alle Zeichenfolgen vor Erkennungsmechanismen zu verbergen.„
Schoolyard Bully zielt mit mindestens 37 Apps auf Facebook-Konten
Die Sicherheitsforscher gehen davon aus, dass mindestens 300.000 Geräte in 71 Ländern infiziert sind, um zahlreiche Facebook-Konten zu übernehmen. Da die Anwendungen weiterhin in App-Stores von Drittanbietern verfügbar sind, können die tatsächlichen Zahlen jedoch noch größer sein.
Insgesamt listet Zimperium 37 Anwendungen auf, die mit der Malware-Kampagne in Verbindung stehen. Weiterhin sei nicht auszuschließen, dass die bisher unbekannten Angreifer die Schadsoftware durch noch mehr Apps verbreiten.
Dabei ist Schoolyard Bully längst nicht die erste Malware, die auf Facebook-Konten von Android-Anwendern abzielt.
