dim. Jan 29th, 2023

Le malware Android Schoolyard Bully se propage sur au moins 37 applications éducatives malveillantes et vole les comptes Facebook des élèves.

Les logiciels malveillants »Intimidateur de la cour d’école» fait son chemin vers les smartphones Android via au moins 37 applications différentes afin d’accéder aux comptes Facebook de ses victimes. Ceux-ci sont toujours disponibles, en particulier dans les magasins d’applications tiers.

Les logiciels malveillants Android détournent massivement les comptes Facebook depuis 2018

Des chercheurs en sécurité ont découvert une campagne de logiciels malveillants dans laquelle des attaquants volent les informations d’identification de compte Facebook à partir d’appareils Android depuis 2018. Le logiciel malveillant utilisé pénètre dans les smartphones des victimes, qui sont donc principalement des écoliers, via de supposées applications de lecture et d’éducation.

Selon le rapport des chercheurs de Zimperium, la campagne se concentre sur le Vietnam. Néanmoins, les au moins 300 000 appareils infectés sont finalement répartis dans 71 pays à travers le monde.

Les applications utilisées pour propager le malware ne peuvent plus être trouvées dans le Google Play Store. Dans les magasins d’applications tiers, en revanche, c’est le cas.

Le voleur de données a un nom : Schoolyard Bully

Connectez-vous au compte Facebook dans le
WebView d’une application éducative
(Source : Zimperium)

Les applications que le « Intimidateur de la cour d’école» sur les smartphones des élèves, se déguisent en applications pédagogiques utiles et paraissent inoffensives au premier coup d’œil. Néanmoins, les chercheurs en sécurité ont pu y identifier un code malveillant, qui exploite parfois les informations de connexion des comptes Facebook.

En plus de voler les adresses e-mail, les numéros de téléphone et les noms des utilisateurs, Schoolyard Bully vole également leur identifiant de compte et leur mot de passe. Pour cela, l’application affiche une connexion au compte Facebook dans une WebView. A par la méthode”évaluerJavascript« Le code JavaScript malveillant injecté extrait finalement les informations d’identification qui y sont saisies.

Voir aussi  Minage de Bitcoin : le gouvernement américain envisage d'interdire la preuve de travail

« Le logiciel malveillant utilise des bibliothèques natives pour se cacher de la plupart des programmes antivirus et des détections de virus basées sur l’apprentissage automatique. » préviennent les chercheurs dans leur rapport. Les données nécessaires à la communication avec le serveur de commande et de contrôle sont également « chiffré en plus pour masquer toutes les chaînes de caractères des mécanismes de détection.« 

Schoolyard Bully cible les comptes Facebook avec au moins 37 applications

Les chercheurs en sécurité supposent qu’au moins 300 000 appareils dans 71 pays sont infectés pour prendre le contrôle de nombreux comptes Facebook. Cependant, étant donné que les applications sont toujours disponibles dans les magasins d’applications tiers, les chiffres réels peuvent être encore plus importants.

Au total, Zimperium répertorie 37 applications liées à la campagne de malware. De plus, il ne peut pas être exclu que les attaquants jusque-là inconnus propagent le malware via encore plus d’applications.

Schoolyard Bully n’est en aucun cas le premier malware à cibler les comptes Facebook des utilisateurs d’Android.