Theo báo cáo mới từ công ty bảo mật di động Zimperium (Mỹ), chiến dịch có tên gọi là “Schoolyard Bully”, đây là Trojan ngụy trang dưới dạng các ứng dụng giáo dục cung cấp các nội dung như đọc sách và các chủ đề dành cho học sinh, đã lây nhiễm ít nhất 300.000 thiết bị của nạn nhân trên 71 quốc gia khác nhau, trong đó mục tiêu chủ yếu nhằm vào người dùng Facebook tại Việt Nam.
Hoạt động từ năm 2018, chiến dịch Trojan này được thiết kế đặc biệt để đánh cắp và tải thông tin đăng nhập Facebook lên các máy chủ do các tin tặc kiểm soát. Zimperium cho biết, kể từ khi bị xóa khỏi Google Play, Schoolyard Bully vẫn tiếp tục tồn tại và gây rủi ro cho người dùng thông qua các cửa hàng ứng dụng Android của bên thứ ba.
Schoolyard Bully giả dạng các ứng dụng giáo dục. Tuy nhiên, mục tiêu chính của Trojan này là đánh cắp thông tin đăng nhập tài khoản Facebook như email, mật khẩu, ID tài khoản, tên người dùng, số điện thoại. Ngoài ra, nó cũng thu thập tên thiết bị của người dùng, thông tin phần cứng và phần mềm của thiết bị.
Trojan đánh cắp các chi tiết này bằng cách mở trang đăng nhập Facebook hợp pháp bên trong ứng dụng bằng WebView và tiêm JavaScript độc hại để trích xuất thông tin do người dùng nhập vào.
Cụ thể, các nhà nghiên cứu của Zimperium giải thích: “Khi người dùng nhập thông tin xác thực tài khoản Facebook của họ trong ứng dụng thông qua trang Facebook. Javascript sẽ được đưa vào WebView bằng phương thức 'evaluateJavascript’, mã javascript này sau đó trích xuất giá trị của các thành phần ‘ids m_login_email’ và ‘m_login_password’, là các vị trí cho số điện thoại, địa chỉ email và mật khẩu. Dữ liệu sẽ được chuyển một cách âm thầm và trích xuất tới máy chủ chỉ huy và kiểm soát (C&C) do tin tặc kiểm soát”.
Hơn nữa, Trojan sử dụng Native Libraries (tập hợp của nhiều thư viện như WebKit, OpenGL, FreeType, SQLite, Media,…) để ẩn mình trước các phần mềm bảo mật và các công cụ phân tích, điều này khiến việc phát hiện là rất khó khăn.
Zimperium cho biết hãng đã phát hiện Trojan độc hại này trên 300.000 nạn nhân ở 71 quốc gia dựa trên dữ liệu đo từ xa. Ngoài ra, do 37 ứng dụng trong chiến dịch này được phân phối qua các cửa hàng ứng dụng của bên thứ ba, số lượng nạn nhân có thể cao hơn vì không có cách đo lường chính xác các nạn nhân trên những nền tảng này.
Zimperium cũng cảnh báo rằng có thể có nhiều ứng dụng hơn ngoài những ứng dụng mà các nhà nghiên cứu đã phát hiện. Bên cạnh đó, hãng bảo mật di động này cũng đã cung cấp thông tin kỹ thuật và chỉ số thỏa hiệp (IoC) có thể được sử dụng nhằm phát hiện Trojan Schoolyard Bully.
Các nguy cơ từ Schoolyard Bully vẫn chưa được chỉ rõ, tuy nhiên Zimperium khẳng định Trojan này không liên quan đến hoạt động FlyTrap - một chiến dịch Trojan Android tấn công vào Việt Nam với cùng mục tiêu đánh cắp tài khoản Facebook, vì dựa trên phân tích mã nguồn, các nhà nghiên cứu cho biết hai chiến dịch này hoạt động và sử dụng các mã khác nhau.