Plus de 300 000 utilisateurs dans 71 pays ont été victimes d’une nouvelle campagne de menaces Android appelée Schoolyard Bully Trojan. Principalement conçu pour voler les informations d’identification de Facebook, le logiciel malveillant est camouflé en applications légitimes sur le thème de l’éducation pour inciter les utilisateurs sans méfiance à les télécharger. Les applications, qui étaient disponibles en téléchargement sur le Google Play Store officiel, ont maintenant été supprimées. Cela dit, ils continuent d’être disponibles sur les magasins d’applications tiers. « Ce cheval de Troie utilise l’injection de JavaScript pour voler les informations d’identification de Facebook », ont déclaré les chercheurs de Zimperium Nipun Gupta et Aazim Bill SE Yaswant dans un rapport partagé avec breachtrace. Il y parvient en lançant la page de connexion de Facebook dans une WebView, qui intègre également du code JavasCript malveillant pour exfiltrer le numéro de téléphone, l’adresse e-mail et le mot de passe de l’utilisateur vers un serveur de commande et de contrôle (C2) configuré.
Le cheval de Troie Schoolyard Bully utilise en outre des bibliothèques natives telles que « libabc.so » afin d’éviter la détection par les solutions antivirus. Bien que le logiciel malveillant cible les applications en langue vietnamienne, il a également été découvert dans plusieurs autres applications disponibles dans plus de 70 pays, soulignant l’ampleur des attaques. Les résultats surviennent plus d’un an après que Zimperium a découvert une activité similaire visant à compromettre les comptes Facebook via des applications Android malveillantes dans le cadre d’une campagne nommée FlyTrap. « Les attaquants peuvent causer beaucoup de ravages en volant les mots de passe Facebook », a déclaré Richard Melick, directeur du renseignement sur les menaces mobiles chez Zimperium. « S’ils peuvent usurper l’identité de quelqu’un à partir de leur compte Facebook légitime, il devient extrêmement facile d’hameçonner des amis et d’autres contacts pour qu’ils envoient de l’argent ou des informations sensibles. » « Le nombre de personnes qui réutilisent les mêmes mots de passe est également très préoccupant. Si un attaquant vole le mot de passe Facebook de quelqu’un, il y a une forte probabilité que le même e-mail et le même mot de passe fonctionnent avec les applications bancaires ou financières, les comptes d’entreprise et bien plus encore. »