MysteryBot malware сочетает в себе функции банковского трояна, кейлоггера и программы-вымогателя

Специалисты компании ThreatFabric обнаружили мобильное вредоносное ПО MysteryBot, которое атакует устройства, работающие на Android 7 и 8. Новая угроза сочетает в себе функции банковского трояна, кейлоггера и программы-вымогателя.

Исследователи сообщают, что MysteryBot определенно связан с другой вредоносной программой, то есть Трояном LokiBot bank, о чем свидетельствуют сходства, обнаруженные в исходном коде. Кроме того, эта новая вредоносная программа использует тот же самый управляющий сервер, и специалисты уже обнаружили ее среди недавних вредоносных кампаний. Остается неясным, почему авторы LokiBot переключились на разработку новой вредоносной программы. Возможно, причиной этого стала утечка исходного кода LokiBot, произошедшая несколько месяцев назад. После такого инцидента несколько хакерских групп начали использовать этот троян.

Специалисты пишут, что MysteryBot сильно отличается от своего предшественника, а также от конкурирующих банкиров для Android (например, ExoBot 2.5, Anubis II, DiseaseBot, CryEye). По данным ThreatFabric, MysteryBot - это первый банковский троян с возможностью корректного отображения наложений на Android 7 и 8.

Оверлеи уже давно используются вирусописателями и помогают им отображать поддельные страницы входа в систему или формы ввода над другими законными приложениями windows. Но после выпуска Android 7 и 8 у киберпреступников возникли некоторые проблемы, так как инженеры Google добавили в свою ОС новые механизмы защиты. После этого разработчики вредоносных программ не смогли вовремя сделать оверлеи, чтобы они появлялись на экране зараженного устройства, так как потеряли возможность отслеживать, когда жертва запускает приложение на своем устройстве.

По данным ThreatFabric investigation, авторы MysteryBot разобрались с этой проблемой. Они используют разрешение PACKAGE_USAGE_STATS для отображения наложений по времени. Таким образом, Android отображает статистику использования этого приложения, а хакеры косвенно получают другую информацию о текущем приложении.

Уникальная особенность кейлоггера

Эта вредоносная программа также оснащена функцией кейлоггера, довольно необычной. Когда пользователь набирает текст на экранной клавиатуре, MysteryBot не делает скриншотов для каждой буквы, а полагается на запись сенсорных жестов. Вредоносная программа записывает изображение сенсорных жестов, сравнивает его с экранной клавиатурой жертвы и на основе этой информации делает выводы о набираемом тексте.

MysteryBot и его несовершенный модуль вымогательства

MysteryBot оснащен функцией вымогательства, которая, очевидно, происходит от LokiBot. Исследователи говорят, что вредоносная программа может блокировать файлы пользователя на внешних хранилищах. В этом случае он не шифрует сами файлы, а помещает их в отдельные ZIP-архивы, каждый из которых защищен паролем.

По мнению экспертов, модуль вымогательства недостаточно эффективен, например, длина паролей архивов равна всего 8 символам, то есть их довольно легко взломать. Кроме того, пароль и уникальный идентификатор для каждой жертвы отправляются на пульт дистанционного управления Myster_L0cker. Однако идентификатор - это всего лишь число от 0 до 9999, и перед отправкой больше нет проверки существующего идентификатора. То есть пароли некоторых жертв могут быть легко перезаписаны новыми жертвами, как только идентификатор синхронизируется с бэкендом MysteryBot.

MysteryBot замаскирован под флеш плеер для Android

По мнению аналитиков ThreatFabric, кампания распространения MysteryBot еще не началась, а вредоносная программа все еще находится в стадии разработки. Однако эксперты прогнозируют, что методы распространения будут такими же, как и у предыдущих LokiBot: SMS-спам и фишинговые письма.

Эксперты напоминают, что лучше скачивать приложения только из официального магазина Google Play, и пользователь также должен с подозрением относиться к продуктам, которые запрашивают разрешение на использование сервиса специальных возможностей.