MysteryBot: Il nuovo malware Android che fonde keylogger, ransomware e trojan bancario

Il malware Android MysteryBot mira alle app bancarie

I ricercatori di sicurezza di ThreatFabric hanno scoperto una forma sperimentale di malware Android che è ancora in fase di sviluppo. Secondo i ricercatori, il nuovo malware fonde le caratteristiche di un trojan bancario, un keylogger e un ransomware che prende di mira i dispositivi Android in esecuzione su 7.0 o 8.0.

Denominato MysteryBot, questo malware presenta somiglianze sorprendenti con il famigerato LokiBot che ha creato scompiglio lo scorso anno, sebbene con nuove funzionalità ingannevoli. Ciò significa che è probabile che sia stato sviluppato dallo stesso sviluppatore di malware. Inizialmente considerato come una versione rivista di LokiBot, i ricercatori hanno scoperto che il malware aveva molto di più in serbo.

“Durante l’indagine sulla sua attività di rete, abbiamo scoperto che MysteryBot e LokiBot banker Android stanno entrambi funzionando sullo stesso server C&C [command and control]. Questo ci ha rapidamente portato a una conclusione preliminare che questo malware appena scoperto è o un aggiornamento di Lokibot, o un altro trojan bancario sviluppato dallo stesso attore,” ha dichiarato ThreatFabric in un post sul blog.

MysteryBot mostra capacità eccezionali, prendendo il completo controllo del dispositivo colpito. È in grado di eseguire varie attività dannose, come effettuare telefonate, rubare informazioni di contatto, copiare messaggi di testo, inoltrare chiamate in arrivo a un altro dispositivo e funzionare come un keylogger. Può anche crittografare tutti i file del dispositivo nella memoria esterna e cancellare tutte le informazioni di contatto sul dispositivo.

Il malware entra nel dispositivo travestendosi da app Adobe Flash Player per Android. “In generale, il consumatore deve essere consapevole che tutte le cosiddette ‘app di Flash Player (aggiornamento)’ che possono essere trovate dentro e fuori i vari app store sono malware,” ha detto ThreatFabric a Bleeping Computer.

“Molti siti web richiedono ancora ai visitatori di avere supporto per Flash (che non è stato disponibile su Android per molti anni), causando agli utenti Android di cercare un’app che consenta loro di utilizzare quel sito web,” ha aggiunto il portavoce. “Alla fine, si ritroveranno semplicemente a installare malware.”

Spiegando ulteriormente, i ricercatori hanno detto, “Una nuova tecnica è stata concepita ed è attualmente in uso, abusa del permesso Android PACKAGE_USAGE_STATS (comunemente chiamato permesso di accesso all’uso). Il codice di MysteryBot è stato consolidato con la cosiddetta tecnica PACKAGE_USAGE_STATS. Poiché abusare di questi permessi Android richiede che la vittima fornisca i permessi per l’uso, MysteryBot impiega il popolare AccessibilityService, consentendo al trojan di abilitare e abusare di qualsiasi permesso richiesto senza il consenso della vittima.”

L’obiettivo principale del malware MysteryBot è riportato essere quello di prendere di mira le app bancarie, sebbene il malware possa fare molto di più. MysteryBot può eseguire attività di mobile banking sotto un travestimento legale senza la conoscenza o il consenso della vittima, rendendo difficile per le istituzioni finanziarie identificare attività dannose. w tecnique è stata concepita ed è attualmente in uso, abusa del

Sebbene MysteryBot attualmente non sia in circolazione, LokiBot è stato precedentemente diffuso tramite SMS spam (smishing) e email (phishing) contenenti link a un’app Android, ha detto ThreatFabric a Bleeping Computer.

Si suggerisce agli utenti che, per mantenere il proprio dispositivo al sicuro, installino app Android solo dal Google Play Store e non da altre fonti. Inoltre, è importante sapere che stanno scaricando dal Play Store.

“Ci sono ancora molti droppers sul Google Play Store poiché sembra essere un mezzo di distribuzione efficiente,” ha detto ThreatFabric. “Tuttavia, la maggior parte dei trojan bancari Android sembra essere distribuita tramite smishing/phishing e side-loading.”

Fonte: Bleeping Computer