Il bullo della scuola colpisce Android: è un malware che ruba gli account Facebook

È stato chiamato “Schoolyard Bully”, letteralmente il bullo da cortile della scuola, un trojan che dal 2018 ha cercato di infettare gli smartphone Android al fine di estorcere le credenziali per l’accesso a Facebook dell’utente, e altri dati. La notizia è stata diffusa da Zimperium, che sostiene che il malware abbia colpito almeno 300 mila dispositivi in 71 paesi, fra cui anche l’Italia.

Schoolyard Bully, il trojan Android ha colpito 300 mila dispositivi dal 2018

Alcune app utilizzate per diffondere il trojan sono state distribuite anche attraverso Google Play Store, tuttavia ad oggi lo store ufficiale di Android è stato del tutto ripulito. Schoolyard Bully può però essere installato sul proprio dispositivo ancora oggi, attraverso app rese disponibili su store di terze parti.

Schoolyard Bully, il trojan Android ha colpito 300 mila dispositivi dal 2018

Il nome Schoolyard Bully è dovuto al comportamento del trojan, che tende a mascherarsi da app educativa – apparentemente innocua – nascondendo il suo obiettivo principale: rubare le credenziali dell’account Facebook (e-mail e password), l’ID dell’account, il nome utente, e anche il nome e altri dati sensibili del dispositivo.

Schoolyard Bully ruba questi dettagli caricando una pagina di accesso Facebook legittima all’interno dell’app attraverso WebView, ma al contempo inietta un codice JavaScript dannoso per estrarre gli input dell’utente. Nello specifico, attraverso il metodo “evaluateJavascript”, il trojan estrae i valori inseriti nei campi “ids m_login_email” e “m_login_password”, ottenendo così il numero di telefono, l’indirizzo e-mail e la password che l’utente usa per accedere a Facebook.

Il trojain utilizza anche delle librerie native per nascondere il codice dannoso ai software di sicurezza e agli strumenti di analisi. Secondo i dati telemetrici in possesso da Zimperium, il malware ha coinvolto 300 mila vittime in 71 paesi differenti, attraverso 37 app. Queste, però, sono state distribuite anche su piattaforme di download di terze parti, quindi è probabile che il numero di “vittime” sia sensibilmente superiore. Non è da escludere, inoltre, che il malware sia stato inserito anche in altre app non ancora scoperte da Zimperium, con gli attori alla base della campagna malware che rimangono tutt’oggi sconosciuti.