This is a machine translation. The original page (in English) is available here.
Главная> > Мировые новости> > MysteryBot malware сочетает в себе функции банковского трояна, кейлоггер и вымогателей
Лучшие кейлоггеры
Посмотреть еще...

MysteryBot malware сочетает в себе функции банковского трояна, кейлоггер и вымогателей

  •  
Пользовательский рейтинг: 5-1 голосов

Специалисты компании ThreatFabric обнаружили мобильное вредоносное ПО MysteryBot, которое атакует устройства, работающие на Android 7 и 8. Новая угроза сочетает в себе функции банковского трояна, кейлоггера и вымогателей.


Исследователи сообщают, что MysteryBot определенно связан с другой вредоносной программой, то есть Трояном LokiBot bank, как указано на сходство, обнаруженное в исходном коде. Кроме того, эта новая вредоносная программа использует тот же сервер управления, и специалисты уже обнаружили его среди последних вредоносных кампаний. Остается неясным, почему авторы LokiBot переключились на разработку нового вредоносного ПО. Возможно, причиной этого стала утечка исходного кода LokiBot, которая произошла несколько месяцев назад. После такого инцидента несколько хакерских группировок начали использовать этот троян.


Специалисты пишут, что MysteryBot сильно отличается от своего предшественника, а также от конкурирующих банкиров для Android (например, ExoBot 2.5, Anubis II, DiseaseBot, CryEye). По данным ThreatFabric, MysteryBot является первым банковским трояном с возможностью корректного отображения наложений на Android 7 и 8.


Оверлеи уже давно используются вирусописателями и помогают им отображать поддельные страницы входа или формы ввода над другими законными приложениями windows. Но после выхода Android 7 и 8 у киберпреступников возникли некоторые проблемы, так как инженеры Google добавили новые механизмы защиты в свою ОС. После этого разработчики вредоносных программ не смогли вовремя сделать оверлеи, чтобы они появлялись на экране зараженного устройства, так как они потеряли возможность отслеживать, когда жертва запускает приложение на своем устройстве.


По данным следствия, авторы MysteryBot сами разобрались с этой проблемой. Они используют разрешение PACKAGE_USAGE_STATS для отображения наложений на время. Таким образом, Android отображает статистику использования этого приложения, и хакеры косвенно получают другую информацию о текущем приложении.


Уникальная особенность кейлоггера


Эта вредоносная программа также оснащена функцией keylogger, довольно необычной. Когда пользователь вводит текст на экранной клавиатуре, MysteryBot не делает скриншоты для каждой буквы, но полагается на запись жестов касания. Вредоносная программа записывает изображение жестов касания, сравнивает его с экранной клавиатурой жертвы и на основании этой информации делает выводы о вводимом тексте.


MysteryBot и его несовершенный модуль вымогательства


MysteryBot оснащен функцией вымогательства, которая, очевидно, происходит от LokiBot. Исследователи говорят, что вредоносное ПО может блокировать файлы пользователя на внешних хранилищах. В этом случае он не шифрует сами файлы, а помещает их в отдельные ZIP-архивы, каждый из которых защищен паролем.


По мнению экспертов, модуль вымогательства недостаточно эффективен, например, длина паролей архивов равна всего 8 символам, то есть их достаточно легко взломать. Кроме того, пароль и уникальный идентификатор для каждой жертвы отправляются на пульт дистанционного управления Myster_L0cker. Однако идентификатор - это только число от 0 до 9999, и перед отправкой больше нет проверки существующего идентификатора. То есть пароли некоторых жертв могут быть легко перезаписаны новыми жертвами, как только идентификатор синхронизируется с серверной частью MysteryBot.


MysteryBot замаскирован под флеш-плеер для Android


По словам аналитиков ThreatFabric, пока еще нет кампании распространения MysteryBot, и вредоносное ПО все еще находится в стадии разработки. Однако эксперты прогнозируют, что способы распространения будут такими же, как и предыдущие из LokiBot: SMS-спам и фишинговые письма.


Эксперты напоминают, что лучше скачивать приложения только из официального магазина Google Play, и пользователь также должен быть подозрителен к продуктам, которые запрашивают разрешение на использование службы доступности.


Дата публикации:
Автор:
Главная> > Мировые новости> > MysteryBot malware сочетает в себе функции банковского трояна, кейлоггер и вымогателей
Очень важно! Установка средств мониторинга компьютера на компьютеры, которыми вы не владеете или не имеете разрешения на мониторинг, может нарушать местное, государственное или федеральное законодательство.