Ein Smartphone mit Login, der Zugang zu einem Facebook-Konto verschafft

Facebook-Konten in Gefahr: Malware kommt als Bildungs-App

02.12.2022 von Marc Stöckel Lesezeit: 3 Min.

Die Android-Malware Schoolyard Bully verteilt sich über mindestens 37 vermeintliche Bildungs-Apps und raubt Facebook-Konten von Schülern.

Die Malware „Schoolyard Bully“ bahnt sich über mindestens 37 verschiedene Anwendungen ihren Weg auf Android-Smartphones, um dort Facebook-Konten ihrer Opfer abzugreifen. Insbesondere in App-Stores von Drittanbietern sind diese auch weiterhin verfügbar.

Android-Malware greift seit 2018 massenhaft Facebook-Konten ab

Sicherheitsforscher haben eine Malware-Kampagne aufgedeckt, bei der Angreifer bereits seit 2018 Zugangsdaten zu Facebook-Konten von Android-Geräten stehlen. Die eingesetzte Schadsoftware gelangt über vermeintliche Lese- und Bildungs-Apps auf die Smartphones der Opfer, bei denen es sich demnach vorrangig um Schüler handelt.

Dem Bericht der Forscher von Zimperium zufolge liege der Schwerpunkt der Kampagne zwar auf Vietnam. Dennoch seien die mindestens 300.000 infizierten Geräte letztendlich weltweit auf 71 Länder verteilt.

Im Google Play Store seien die zur Verbreitung der Malware verwendeten Apps inzwischen nicht mehr zu finden. In App-Stores von Drittanbietern hingegen schon.

Der Datendieb hat einen Namen: Schoolyard Bully

Facebook-Login — Login zum Facebook-Konto in der
WebView einer Bildungsanwendung
(Quelle: Zimperium)

Die Apps, die die „Schoolyard Bully“ genannte Malware auf die Smartphones der Schüler schleusen, tarnen sich als nützliche Bildungsanwendungen und machen auf den ersten Blick einen harmlosen Eindruck. Dennoch konnten die Sicherheitsforscher darin schadhaften Code identifizieren, der mitunter Anmeldeinformationen für Facebook-Konten abgreift.

Neben E-Mail-Adressen, Telefonnummern und Namen der Benutzer stiehlt Schoolyard Bully ebenso deren Konto-ID sowie ihr Passwort. Dafür zeigt die Anwendung einen Login zum Facebook-Konto innerhalb einer WebView. Ein durch die Methode „evaluateJavascript“ eingeschleuster bösartiger JavaScript-Code extrahiert schließlich die dort eingegebenen Zugangsdaten.

„Die Malware verwendet systemeigene Bibliotheken, um sich vor den meisten Antivirenprogrammen und Machine-Learning-basierten Virenerkennungen zu verstecken„, warnen die Forscher in ihrem Bericht. Die für die Kommunikation mit dem Command-and-Control-Server erforderlichen Daten seien außerdem „zusätzlich verschlüsselt, um alle Zeichenfolgen vor Erkennungsmechanismen zu verbergen.„

Schoolyard Bully zielt mit mindestens 37 Apps auf Facebook-Konten

Die Sicherheitsforscher gehen davon aus, dass mindestens 300.000 Geräte in 71 Ländern infiziert sind, um zahlreiche Facebook-Konten zu übernehmen. Da die Anwendungen weiterhin in App-Stores von Drittanbietern verfügbar sind, können die tatsächlichen Zahlen jedoch noch größer sein.

Insgesamt listet Zimperium 37 Anwendungen auf, die mit der Malware-Kampagne in Verbindung stehen. Weiterhin sei nicht auszuschließen, dass die bisher unbekannten Angreifer die Schadsoftware durch noch mehr Apps verbreiten.

Dabei ist Schoolyard Bully längst nicht die erste Malware, die auf Facebook-Konten von Android-Anwendern abzielt.

Android TV-Set-Top-Box mit Fernbedienung

TV-Boxen für Botnet missbraucht: 1,3 Millionen Geräte betroffen

Die Android.Vo1d-Malware infiziert über eine Million TV-Boxen in über 200 Ländern und bindet sie in ein Botnetz ein.

Nahaufnahme eines Computerbildschirms mit deutlicher Warnung vor erkannter Malware

TrickMo: Android-Trojaner nimmt auch deutsche Nutzer ins Visier

TrickMo wird immer mehr zur Bedrohung. Denn mit jeder neuen Variante wird der Android-Trojaner schlauer und gefährlicher.

Gecrackte Android Apps 2025

Gecrackte Android Apps 2025: Welche Portale sind online? Wo lauern Gefahren? Unsere aktuelle Übersicht mit Malware-Risiken und Schutz-Tipps.

An alle Besitzer von Krypto-Wallets! CherryBlos will an eure Daten

Die Malware CherryBlos für Android ist heimtückisch und raffiniert. Sie versucht mit allen möglichen Tricks an eure Wallets zu gelangen.

Anonymer Hacker verbreitet seine Android-Malware via Google Play Store (Symbolbild)

Kriminelle verkaufen in Google Play Store eingeschleuste Malware

Wer das nötige Kleingeld hat, kann vom Anbieter auch noch eine Google-Ads-Kampagne zu seiner im Play Store platzierten Malware starten lassen

Symbolbild: Der Entschlüsselungs-Key liegt offen – ein seltener Fehler in einer ansonsten gefährlichen Ransomware-Kampagne.

CyberVolk-Ransomware: VolkLocker liefert Entschlüsselungs-Key gleich mit

CyberVolk-Ransomware ist zurück: VolkLocker läuft komplett über Telegram und speichert den Master-Key im Klartext.

Stealka Stealer tarnt sich als Roblox-Mod oder Cheat und stiehlt Browserdaten, Krypto-Wallets und Konten unter Windows.

Stealka Stealer: Fake-Roblox-Mods und Cheats plündern Krypto-Wallets

Stealka Stealer ist eine neue Windows-Malware, die sich als Roblox-Mod oder Cheat tarnt und Browserdaten sowie Krypto-Wallets plündert.

FluBot: Schlag gegen SMS-basierte Android-Malware

Europol hat die Zerschlagung von FluBot, einer sich sehr schnell ausbreitenden Android-Malware-Variante, bekannt gegeben.

SwingVPN schießt nicht nur Nutzerdaten durch die Leitungen

SwingVPN macht Android Handys zum Teil eines Botnets

Eine beliebte VPN-App - SwingVPN - sendet nicht nur verschlüsselte Daten. Sie macht das eigene Handy auch zum Teil eines Botnetzes.

Ein Verkaufsstand mit Samsung Galaxy Smartphones

Samsung: Sicherheitslücke im Galaxy Store lässt Malware herein

Per Cross-Site-Scripting konnten Hacker unbemerkt eine schadhafte Anwendung auf Samsung-Geräten installieren und ausführen.

Ein Computerbildschirm mit einer geöffneten FMovies-Seite, im Hintergrund erscheint eine Malware-Warnung – ein Symbolbild, das die Gefahr durch Infostealer bei illegalen Streaming-Seiten veranschaulicht.

Piraterie und Malware: Wie FMovies zur Infostealer-Schleuder wurde

Auf einen Film geklickt und dein Passwort ist weg? Piraterie und Malware sind heute enger miteinander verbunden als je zuvor.

Facestealer: Android-Malware infiziert 100.000 Google Play-Nutzer

Der Google Play Store hat ca. 100.000 Downloads einer bösartigen Android-App verzeichnet. Der hier integrierte Facestealer stiehlt Passwörter

Supply-Chain-Angriff: NPM-Pakete mit 2,6 Milliarden Downloads pro Woche infiziert

Angreifer haben durch einen Malware in NPM-Pakete eingeschleust, die wöchentlich über 2,6 Milliarden Mal heruntergeladen werden.

Zwei uralte Smartphones mit iOS und Android

Android und iOS: Adware über 13 Millionen Mal installiert

Sicherheitsforscher haben zahlreiche Android- und iOS-Apps entdeckt, die Millionen von Geräten mit einer Adware infizierten.

Ein Cloud9-Hacker, nachdem er gerade einen DDoS-Angriff gestartet hat (Symbolbild)

Cloud9: Chrome-Erweiterung dient Hackern für DDoS-Angriffe

Nebenbei können die Cloud9-Hacker auch Anmeldeinformationen von infizierten Systemen stehlen und bei Bedarf weitere Malware nachladen.

Neue Ransomware-Masche: Affiliates werden abgezockt

Neue Ransomware-Masche: Cybergangster geben sich als LockBit 4.0, Babuk oder Cl0p aus

Die Erpresser-Szene ist derzeit in Verkleidungslaune: Eine neue Ransomware-Masche setzt auf Affiliate-Betrug.

Symbolische Darstellung: TikTok als Einfallstor für Malware – eine Warnung vor Social-Engineering-Angriffen in sozialen Medien.

ClickFix-Malware über TikTok: Infostealer im Influencer-Gewand

ClickFix-Malware über TikTok: Mit viralen TikTok-Videos als Trojanischem Pferd starten Cyberkriminelle neue Angriffswellen.

Godfather 2.0“ im Cyber-Filmstudio: Eine virtuelle Banking-App als Bühne für digitalen Datendiebstahl – inszeniert im Schatten von Hollywood.

Godfather 2.0: Android-Malware nutzt Virtualisierung für Banking-Raubzüge in Echtzeit

Godfather 2.0 kapert Banking-Apps per Android-Virtualisierung. Neue Malware-Variante ermöglicht Echtzeit-Diebstahl – trotz echter UI.