I ricercatori di sicurezza informatica di Zimperium hanno recentemente scoperto 37 app Android che distribuiscono malware per il furto di informazioni chiamato "Schoolyard Bully".
Le app sono state inizialmente distribuite tramite il Play Store, ma una volta che Google le ha scoperte e rimosse, hanno continuato a esistere in repository di app di terze parti.
In quanto tali, rappresentano ancora oggi un rischio. Complessivamente, le app sono state scaricate 300.000 volte in 71 paesi in tutto il mondo. Tuttavia, le persone che vivono in Vietnam sembrano essere l'obiettivo numero uno del malware.
Facebook nel mirino
"Schoolyard Bully" ha preso il nome perché impersona app educative. Quando le vittime tentano di eseguirli sui propri endpoint (si apre in una nuova scheda), ottengono un legittimo popup di accesso a Facebook, ma il JavaScript dannoso viene eseguito in background per estrarre tutto ciò che si trova tra l'utente.
Può raccogliere credenziali di Facebook, ID account, nomi utente, nomi di dispositivi, dati RAM e dati API.
Finora, i ricercatori non sono stati in grado di determinare l'autore della minaccia dietro la campagna, ma sanno che va avanti da almeno quattro anni.
Le password di Facebook sono un obiettivo frequente degli attori delle minacce per una serie di motivi. Possono utilizzare la piattaforma per distribuire malware più pericolosi (si apre in una nuova scheda) a un vasto pubblico e diffondere storie false commentando e condividendo informazioni.
Possono anche utilizzare l'accesso per lanciare attacchi BEC (Business Email Compromise) e altre forme di phishing.
E poiché le persone riutilizzano le password su diversi servizi, possono anche provare ad accedere ad altri account appartenenti alle loro vittime.
Gli utenti sono incoraggiati a mantenere password univoche su diversi servizi e utilizzare l'autenticazione a più fattori (MFA) quando possibile. Inoltre, si consiglia di non scaricare app mobili da fonti non verificate e repository di terze parti.
Via: BleepingComputer (si apre in una nuova scheda)