Фирма по кибербезопасности Zimperium опубликовала сообщение в блоге с подробным описанием недавно обнаруженной кампании вредоносных программ для Android, которая продолжается с 2018 года. Эта кампания распространяет набор вредоносных приложений, которые исследователи называют "трояном Schoolyard Bully" из-за того, что приложения маскируются под образовательные приложения, предлагающие пользователям широкий выбор книг для чтения. Троянец Schoolyard Bully пытается украсть учетные данные пользователей Facebook и это может оказаться уловкой для доступа к финансовым счетам жертв.

Согласно выводам исследователей, этот троян в первую очередь нацелен на вьетнамских пользователей. Тем не менее, более 300 000 жертв этой вредоносной программы разбросаны как минимум по семидесяти одной стране, поэтому эта вредоносная кампания представляет угрозу для пользователей за пределами Вьетнама. Исследователи Zimperium обнаружили в магазине Google Play множество приложений, содержащих полезную нагрузку Schoolyard Bully. С тех пор Google удалил эти приложения из Play Store, но они по-прежнему доступны в сторонних магазинах приложений для ничего не подозревающих пользователей.

Эти мошеннические образовательные приложения включают в себя функцию чата, которая интегрируется с Facebook. Когда пользователи выбирают вкладку чата, приложения представляют пользователям законную страницу входа в Facebook. Однако вместо того, чтобы отображать эту веб-страницу с помощью Android System WebView приложения используют собственный веб-браузер, который внедряет вредоносный код JavaScript на веб-страницу. Этот код извлекает все учетные данные для входа введенные на странице, и отправляет их на сервер, контролируемый злоумышленниками стоящими за этой вредоносной кампанией.

По мрачной иронии судьбы, ранее в этом году Meta была поймана с использованием пользовательского встроенного браузера в приложениях Facebook, Instagram и Messenger, что выглядело как скрипт отслеживания на веб-страницы просматриваемые в этих приложениях. 

Zimperium также указывает, что эта попытка украсть учетные данные для входа в Facebook может быть частью более крупной попытки получить несанкционированный доступ к банковским счетам жертв. Люди обычно повторно используют пароли для нескольких учетных записей, о чем свидетельствует эффективность атак с заполнением учетных данных. Таким образом, распространение вредоносного ПО, незаметно похищающего учетные данные для входа в Facebook, может быть более надежным методом получения несанкционированного доступа к финансовым счетам пользователей, чем распространение банковского вредоносного ПО, которое обычно требует, чтобы пользователи предоставили ему обширные разрешения прежде чем оно сможет быть эффективным. Когда пользователи не используют уникальные пароли для каждой из своих учетных записей они не должны предполагать, что на этом атака на одну учетную запись заканчивается.