Bezbednosni istraživači iz kompanije ThreatFabric otkrili su novi malware za uređaje temeljene na Android platformi. Reč je o bankarskom trojancu MisteryBot koji ima i dodatne sposobnosti da deluje poput keyloggera te mobilnog ransomwarea.
MisteryBot je naprednija verzija prošlogodišnjeg LokiBota koji je takođe ciljao na bankarske aplikacije na Android uređajima. Istraživači su otkrili kako MisteryBot koristi iste komandno-kontrolne servere (C&C) koje je koristio i LokiBot.
Dalje, MisteryBot je prvi bankarski malware za Android uređaj koji može prikazati sopstveni ekran preko celog ekrana na uređajima temeljim na Androidu 7 i 8. To je moguće iz razloga što su "developeri" trojanca uspeli da ovladaju funkcijom PACKAGE_USAGE_STATS. Ovu funkciju MisteryBot koristi kako bi prikazao lažne stranice za prijavu na inače legitimne stranice.
Za sada je MisteryBot pokrio više od 100 različitih aplikacija što vezano uz mobilno bankarstvo, što za društvene aplikacije poput Facebook-a, Viber-a i WhatsApp-a. Na popisu se nalaze i aplikacije Yahoo Mail-a, Microsoft-ovog Outlooka, PayPal-a i dr. Popis trenutno poznatih aplikacija na koje cilja MisteryBot možete proveriti ovde. Budući da se malware još uvek nalazi u razvoju popis pogođenih aplikacija nije potpun te je za očekivati kako će u skorijoj budućnosti biti proširen.
Inače, za zarazu mobilnih uređaja sa Android-om developeri trojanca su izabrali apk datoteku naziva Adobe Flash Player. Takođe MisteryBot može biti ponuđen i u vidu "nadogradnje" Adobe Flash Player-a.
MisteryBot zna da šalje i SMS poruke, poziva i preusmerava telefonske brojeve i još štošta drugo...
Kako smo naveli na početku osim što MisteryBot cilja na aplikacije za mobilno bankarstvo opremljen je i naprednijim mogućnostima – keyloggera i ransomwarea. Kada deluje kao keylogger, Misterybot ne snima snimke ekrana već prati redosled dodira po ekranu i pokušava da pogodi koju je tipku korisnik dodirnuo. Budući da je MisteryBot još uvek u fazi razvoja, ovaj modul je za sada beskoristan.
Isto vredi i za modul koji bi trebao da "otme" korisnikove podatke. Modul ih ne kriptuje, već svaku datoteku zaključava unutar ZIP datoteke koju zaštićuje lozinkom dužine osam znakova. Uz malo snažniji računar ista se stoga može i lako otkriti upotrebom nekog od softvera za otkrivanje lozinki Brute Force metodom.
Ipak za očekivati je da jednom kada MisteryBot bude pripremljen da će i ova zadnja dva modula biti naprednija, a time i nezgodnija za pogođene korisnike. Kao prevenciju od zaraze Android uređaja možete iskoristi zdrav razum – preuzimajte aplikacije iz samo legitimnih izvora kao što je recimo Google Play te ne preuzimajte nikakve aplikacije koje obećavaju podršku za Adobe Flash Player ili npr. nadogradnju na noviju verziju.
Postavi komentar
Vaš komentar: