أفاد تقرير أمني بأن حملةً للبرامج الضارة تستهدف نظام التشغيل أندرويد، وتتنكر في صورة تطبيقات للقراءة والتعليم، بدأت منذ عام 2018، وهي تحاول سرقة بيانات تسجيل الدخول إلى حسابات فيسبوك من الأجهزة المصابة.
وبحسب تقرير شركة Zimperium، فإن الحملة أصابت ما لا يقل عن 300,000 جهاز في 71 بلدًا، وكان التركيز على فيتنام.
وذكرت Zimperium أن بعض التطبيقات المستخدمة في نشر فيروس تروجان، الذي أطلقت عليه الشركة اسم مُتنمِّر باحة المدرسة Schoolyard Bully، كانت سابقًا على متجر التطبيقات جوجل بلاي، ولكنها حُذفت.
ومع ذلك، تحذر Zimperium من أن التطبيقات لا تزال تنتشر من خلال متاجر التطبيقات الخارجية الخاصة بنظام التشغيل أندرويد. وأوضحت الشركة أنها أطلقت اسم Schoolyard Bully على البرنامج الضار لأنه يتنكر كتطبيقات تعليمية مفيدة وغير ضارة، ولكن الهدف الرئيسي من البرنامج هو سرقة بيانات اعتماد حسابات فيسبوك، مثل: البريد الإلكتروني وكلمة المرور، ومعرف الحساب، واسم المستخدم، واسم الجهاز، وذاكرة الوصول العشوائي للجهاز، وواجهة برمجة التطبيقات للجهاز.
ووفقًا للتقرير، فإن برنامج أندرويد الضار يسرق هذه التفاصيل عن طريق فتح صفحة تسجيل دخول شرعية على فيسبوك داخل التطبيق باستخدام صفحات عرض الويب WebView، وإدخال كود جافاسكريبت JavaScript ضار لاستخراج مُدخلات المستخدم. وعلاوة على ذلك، يستخدم البرنامج الضار مكتبات أصلية لإخفاء شفرته الخبيثة من برامج الأمان وأدوات التحليل.
وتقول Zimperium إنها اكتشفت هذا البرنامج الضار على 300,000 ضحية في 71 دولة بناءً على بيانات القياس عن بُعد الخاصة بها. ونظرًا إلى أنه يجري توزيع 37 تطبيقًا مرتبطًا بهذه الحملة عبر متاجر تطبيقات تابعة لجهات خارجية، فمن المحتمل أن يكون عدد الضحايا أعلى نظرًا إلى عدم وجود طريقة موثوقة لقياس عدد الضحايا على هذه المنصات.
وتحذر Zimperium أيضًا من احتمال وجود المزيد من التطبيقات بالإضافة إلى تلك التي اكتشفها باحثوها وراء هذه الحملة.
وقالت الشركة إن جهات التهديد الفاعلة وراء Schoolyard Bully غير معروفة، لكن المحللين تمكنوا من تحديد أن البرنامج الضار ليس متربطًا بعملية FlyTrap، التي حاولت سرقت حسابات فيسبوك وركزت على فيتنام.