Được thiết kế chủ yếu để đánh cắp thông tin đăng nhập Facebook, phần mềm độc hại này được ngụy trang dưới dạng các ứng dụng theo chủ đề giáo dục hợp pháp để thu hút người dùng nhẹ dạ tải xuống. Các ứng dụng có sẵn để tải xuống từ Google Play Store chính thức hiện đã bị gỡ xuống, tuy nhiên chúng vẫn tiếp tục có sẵn trên các cửa hàng ứng dụng của bên thứ ba.
Các nhà nghiên cứu Nipun Gupta và Aazim Bill SE Yaswant của hãng bảo mật Zimperium cho biết trong một báo cáo rằng trojan này sử dụng phương thức tấn công JavaScript để đánh cắp thông tin đăng nhập Facebook. Chúng làm điều này bằng cách khởi chạy trang đăng nhập của Facebook trong WebView, trang này cũng nhúng mã JavasCript độc hại vào bên trong để lọc số điện thoại, địa chỉ email và mật khẩu của người dùng tới máy chủ chỉ huy và kiểm soát (C2) được định cấu hình.
Phần mềm độc hại Schoolyard Bully còn sử dụng các thư viện gốc như “libabc.so” để tránh bị các giải pháp chống virus phát hiện. Mặc dù phần mềm độc hại chỉ tập trung vào các ứng dụng tiếng Việt nhưng nó cũng đã được phát hiện trong một số ứng dụng khác có sẵn ở hơn 70 quốc gia, nhấn mạnh quy mô của các cuộc tấn công.
Những phát hiện này được đưa ra hơn một năm sau khi Zimperium phát hiện ra hoạt động tương tự nhằm xâm phạm tài khoản Facebook thông qua các ứng dụng Android giả mạo như một phần của chiến dịch có tên mã FlyTrap.
Richard Melick, giám đốc bộ phận tình báo về mối đe dọa di động tại Zimperium, cho biết: “Những kẻ tấn công có thể gây ra nhiều sự tàn phá bằng cách đánh cắp mật khẩu Facebook. Nếu chúng có thể mạo danh ai đó từ tài khoản Facebook hợp pháp, chúng sẽ dễ dàng tiến hành lừa đảo bạn bè và những người trong danh sách liên hệ của nạn nhân để yêu cầu gửi tiền hoặc thông tin nhạy cảm”.
Điều đáng lo ngại là nhiều người sử dụng chung một mật khẩu cho nhiều tài khoản. Nếu kẻ tấn công đánh cắp mật khẩu Facebook của ai đó thì có khả năng cao là email và mật khẩu đó sẽ hoạt động với các ứng dụng ngân hàng hoặc tài chính, tài khoản công ty,…
