Gracias a la firma de seguridad móvil Zimperium conocemos ahora que un malware de tipo troyano, al que han bautizado como «Schoolyard Bully«, ha estado actuando desde 2018 afectando a dispositivos móviles Android para el robo de las credenciales de acceso a las cuentas de Facebook, otros datos adicionales de las cuentas de los usuarios, e incluso también datos relativos a los dispositivos Android infectados.
Su nombre se debe a que el malware se hace pasar por aplicaciones educativas legítimas, llegando incluso haber estado disponible dentro de Google Play Store, aunque ya han sido eliminadas, aunque aún es posible encontrarse con este malware a través de aplicaciones maliciosas en las tiendas de aplicaciones de terceros.
Los investigadores estiman que el malware ha afectado a más de 300.000 usuarios de Android, aunque la cifra puede llegar a ser superior, en 71 países, incluida España, aunque es Viernan el país más afectado por este malware.
Una vez que el dispositivo haya sido infectado, y sin que los usuarios afectados sepan de ello, el malware abre una página de inicio de sesión de Facebook en la propia aplicación nativa usando WebView e inyecta código JavaScript malicioso mediante el método evaluateJavascript para el robo de los datos del usuario, explica la firma de seguridad.
Añaden que:
El código javascript extrae el valor de los elementos con ‘ids m_login_email’ y ‘m_login_password’, que son marcadores de posición para el número de teléfono, la dirección de correo electrónico y la contraseña
Además, este malware ha hecho uso de bibliotecas nativas para ocultar su código malicioso ante aplicaciones y herramientas de seguridad, por lo que los afectados no han llegado a ser conscientes de haberse infectado del malware.
La firma de seguridad móvil Zimperium señala que, además de las 37 aplicaciones asociadas al malware como parte de la campaña de los atacantes, podría haber otras aplicaciones maliciosas aún no detectadas, y se desconoce quienes pueden estar detrás de este malware, aunque descartaron estar relacionado con la operación FlyTrap, que también intentó realizar robo de cuentas de Facebook y se centró en Vietnan.
Así que toca revisar las cuentas para observar si se han producido movimientos extraños, aunque nunca está de más el cambio de las contraseñas de forma periódica.
Más información: Zimperium