MysteryBot Malware målretter mod Android 7 og 8 enheder med nye tricks

Everpedia, Wikimedia Commons

Mens Android-mobilenheder drives af en sikker låst version af Linux-kernen, har sikkerhedseksperter nu fundet en anden trojan, der påvirker det meget populære operativsystem. Kaldet MysteryBot af eksperter, der arbejder med ThreatFabric, ser det ud til at angribe enheder, der kører Android 7 og 8.

På nogle måder ligner MysteryBot den tidligere LokiBot-malware. ThreatFabrics forskere analyserede koden for begge Trojansand fandt ud af, at der mere end sandsynligt er et link mellem skaberne af dem begge. De gik så langt som at sige, at MysteryBot er baseret på LokiBots kode.

Det sender endda data til den samme C & C-server, der engang blev brugt i en LokiBot-kampagne, som ville antyde, at de blev udviklet og implementeret af de samme organisationer.

Hvis dette virkelig er tilfældet, kan det være relateret til det faktum, at LokiBots kildekode blev lækket på nettet for et par måneder siden. Dette hjalp sikkerhedseksperter, der var i stand til at udvikle nogle afbødninger for det.

MysteryBot har et par træk, der virkelig gør det skiller sig ud fra andre typer Android-bank malware. For eksempel kan det pålideligt vise overlayskærme, der efterligner login-siderne i legitime apps. Googles ingeniører udviklede sikkerhedsfunktioner, der forhindrede malware i at vise overlayskærme på Android 7 og 8 enheder på nogen ensartet måde.

Som et resultat viste andre bank-malwareinfektioner overlayskærmene på ulige tidspunkter, da de ikke kunne fortælle, hvornår brugerne kiggede på apps på deres skærm. MysteryBot misbruger tilladelsen Usage Access, der normalt er designet til at vise statistik om en app. Det lækker indirekte detaljer om, hvilken app der i øjeblikket vises på fronten af ​​grænsefladen.

Det er uklart, hvilken indflydelse MysteryBot har på Lollipop og Marshmallow-enheder, hvilket burde give nogle interessante undersøgelser i de kommende uger, da disse enheder ikke nødvendigvis har alle disse sikkerhedsopdateringer.

Ved at målrette over 100 populære apps, inklusive mange, der er uden for verdenen af ​​mobil e-banking, kunne MysteryBot være i stand til at hente loginoplysninger fra selv kompromitterede brugere, der ikke rigtig bruger deres smartphones så meget. Det ser dog ikke ud til at være i den nuværende oplag.

Derudover registrerer MysteryBot hver gang brugere trykker på en tast på det berøringsbaserede tastatur placeringen af ​​berøringsbevægelsen og forsøger derefter at triangulere placeringen af ​​den virtuelle nøgle, de skrev, baseret på gæt.

Selvom dette er lysår foran de tidligere screenshot-baserede Android-keyloggers, arbejder sikkerhedseksperter allerede hårdt med at udvikle en afbødning.