MysteryBot malware kombiniert die Eigenschaften der banking-Trojaner, Tasten-Rekorder und ransomware
Die Experten von ThreatFabric Unternehmen eine mobile malware MysteryBot, die Angriffe Geräte laufen auf Android 7 und 8. Die neue Bedrohung kombiniert die Funktionen der banking-Trojaner, Tasten-Rekorder und ransomware.
Forscher berichten, dass MysteryBot ist definitiv verbunden mit anderen malware, dass ist LokiBot bank-Trojaner, wie die ähnlichkeiten in der source-code. Außerdem wird dieses neue malware nutzt die gleichen server Steuern und Spezialisten haben bereits erkannt wird, ist es unter den letzten bösartige Kampagnen. Es bleibt unklar, warum die Autoren von LokiBot-Schalter, um die Entwicklung einer neuen malware. Vielleicht ist die Undichtigkeit der LokiBot source-code, die vor ein paar Monaten, war der Grund, es auch zu tun. Nach so einem Vorfall mehrere hacker-Gruppen fing an, verwenden Sie dieses Trojan.
Spezialisten schreiben, dass MysteryBot stark unterscheidet sich von seinem Vorgänger, sowie von konkurrierenden Bankern für Android - (zum Beispiel, ExoBot 2.5, Anubis II, DiseaseBot, CryEye). Nach ThreatFabric Daten, MysteryBot ist die erste banking-Trojaner mit der Fähigkeit zur korrekten Anzeige von overlays auf Android 7 und 8.
Overlays habe lange gebraucht, die von Viren-Autoren und helfen Ihnen, die Anzeige gefälschte login-Seiten oder Eingabe-Formulare über andere legitime windows-Anwendungen. Aber nach der Veröffentlichung von Android 7 und 8 Cyberkriminelle hatten einige Probleme, wie die Google-Ingenieure neue Schutzmechanismen, um Ihre OS. Nach, dass die malware-Entwickler konnte nicht machen die overlays erscheinen auf dem Bildschirm des infizierten Geräts in der Zeit, als Sie verloren die Möglichkeit zu verfolgen, wenn das Opfer läuft eine Anwendung auf seinem Gerät.
Nach ThreatFabric Untersuchung, die Autoren von MysteryBot aussortiert dieses problem. Verwenden Sie die PACKAGE_USAGE_STATS Berechtigung zur Anzeige von overlays auf Zeit. So Android zeigt die Nutzungsstatistik dieser Anwendung und Hacker indirekt erhalten weitere Informationen über die aktuelle Anwendung.
Das einzigartige Merkmal von Tasten-Rekorder
Diese malware ist auch ausgestattet mit der keylogger-Funktion, eher außergewöhnlichen. Wenn der Benutzer text über die Tastatur auf dem Bildschirm, MysteryBot keine screenshots für jeden Buchstaben, sondern setzt auf Aufnahme touch-gesten. Malware nimmt das Bild von touch-gesten, vergleicht es mit der Bildschirm-Tastatur des Opfers und basierend auf diesen Informationen, es kommt zu Schlussfolgerungen über den text eingegeben wird.
MysteryBot und seine unvollkommenen Erpressung Modul
MysteryBot ist ausgestattet mit Erpressung Funktionalität, ist offensichtlich abgeleitet von LokiBot. Forscher sagen, dass die malware-block kann der Benutzer die Dateien auf einem externen Speicher. In diesem Fall spielt es keine Verschlüsselung der Dateien selbst, sondern platziert Sie in separate ZIP-Archiven, von denen jeder mit einem Passwort geschützt.
Nach Ansicht von Experten Sicht der Erpressung Modul ist nicht wirksam genug, um zum Beispiel die Länge der Archive` Passwort ist gleich 8 Zeichen nur, das ist, Sie sind ziemlich leicht zu knacken. Außerdem, das Passwort und die eindeutige ID für jedes Opfer gesendet werden Myster_L0cker remote-control-panel. Aber die ID ist nur eine Zahl von 0 bis 9999, und vor dem versenden, es ist keine überprüfung der existierende ID mehr. Das heißt, die Passwörter einiger Opfer können leicht überschrieben werden, indem neue Opfer, sobald die ID ist synchronisiert mit der MysteryBot backend.
MysteryBot getarnt als Flash-Player für Android
Nach Ansicht der Analysten von ThreatFabric, es gibt keine Verteilung Kampagne von MysteryBot noch nicht, und die malware ist immer noch in der Entwicklung. Jedoch, Experten sagen Voraus, dass die Methoden der Verteilung werden die gleichen sein, wie die vorherigen von LokiBot: SMS-spam und phishing-E-Mails.
Experten daran erinnern, dass es besser ist, laden Sie Anwendungen nur aus dem offiziellen Google Play Store, und der Benutzer sollte auch stutzig werden Produkte, die die Erlaubnis zur Nutzung-Zugänglichkeit-service.
Autor: Keylogger.Org Team