Schoolyard Bully – троян, маскирующийся под обучающие приложения. Приложения-приманки уже удалены из Google Play, но их все еще можно скачать в неофициальных магазинах приложений.
Как сообщают специалисты Zimperium, обнаружившие вредоноса, Schoolyard Bully использует JavaScript-инъекцию для кражи учетных данных Facebook. Делается это легко – страница для регистрации через Facebook запускается в виде WebView с вредоносным JS-кодом внутри. Активируясь, этот код передает на C&C-сервер злоумышленников номер телефона, адрес электронной почты и пароль жертвы.
Чтобы избежать обнаружения антивирусами, троян использует нативные библиотеки, такие как “libabc.so”.
И хотя вредонос чаще всего находили в приложениях на вьетнамском языке, иногда он светился и в других приложениях, которые доступны более чем в 70 странах, что подчеркивает масштаб атак.