MysteryBot: Новый Android-вредонос, который сочетает в себе кейлоггер, программное обеспечение-вымогатель и банковский троян

Вредоносное ПО MysteryBot нацелено на банковские приложения

Исследователи безопасности из ThreatFabric обнаружили экспериментальную форму Android-вредоноса, которая все еще находится в разработке. По словам исследователей, новый вредонос сочетает в себе функции банковского трояна, кейлоггера и программного обеспечения-вымогателя, нацеленного на устройства Android с версиями 7.0 или 8.0.

Названный MysteryBot, этот вредонос имеет поразительное сходство с печально известным LokiBot, который наделал много бед в прошлом году, хотя и с новыми хитрыми функциями. Это означает, что, вероятно, он был разработан тем же разработчиком вредоносного ПО. Изначально считавшийся переработанной версией LokiBot, исследователи обнаружили, что в вредоносном ПО содержится гораздо больше.

“Во время расследования его сетевой активности мы выяснили, что MysteryBot и LokiBot Android banker работают на одном и том же C&C [командном и контрольном] сервере. Это быстро привело нас к раннему выводу, что этот вновь обнаруженный вредонос либо является обновлением Lokibot, либо другим банковским трояном, разработанным тем же актером,” - заявила ThreatFabric в блоге.

MysteryBot демонстрирует исключительные возможности, полностью контролируя затронутое устройство. Он способен выполнять различные вредоносные действия, такие как совершение телефонных звонков, кража контактной информации, копирование текстовых сообщений, переадресация входящих звонков на другое устройство и работа в качестве кейлоггера. Он также может зашифровать все файлы устройства во внешнем хранилище и удалить всю контактную информацию на устройстве.

Вредонос проникает на устройство, маскируясь под приложение Adobe Flash Player для Android. “В общем, потребитель должен быть осведомлен о том, что все так называемые ‘приложения Flash Player (обновление)’, которые можно найти в различных магазинах приложений и за их пределами, являются вредоносными,” - сообщил ThreatFabric Bleeping Computer.

“Многие веб-сайты все еще требуют от посетителей поддержки Flash (который недоступен на Android уже много лет), заставляя пользователей Android пытаться найти приложение, которое позволит им использовать этот веб-сайт,” - добавил представитель. “В конечном итоге они просто установят вредоносное ПО.”

Объясняя дальше, исследователи сказали: “Была разработана новая техника, которая в настоящее время используется, она злоупотребляет разрешением Android PACKAGE_USAGE_STATS (обычно называемым разрешением доступа к использованию). Код MysteryBot был объединен с так называемой техникой PACKAGE_USAGE_STATS. Поскольку злоупотребление этими разрешениями Android требует от жертвы предоставления разрешений на использование, MysteryBot использует популярный AccessibilityService, позволяя трояну включать и злоупотреблять любым необходимым разрешением без согласия жертвы.”

Основная цель вредоносного ПО MysteryBot, как сообщается, заключается в нацеливании на банковские приложения, хотя вредонос может делать гораздо больше. MysteryBot может выполнять мобильные банковские операции под законным прикрытием без ведома или согласия жертвы, что затрудняет финансовым учреждениям идентификацию вредоносной активности. w tecnique была разработана и в настоящее время используется, она злоупотребляет

Хотя в настоящее время MysteryBot не находится в обращении, LokiBot ранее распространялся через SMS-спам (смс-фишинг) и электронные письма (фишинг), содержащие ссылки на приложение для Android, сообщил ThreatFabric Bleeping Computer.

Пользователям рекомендуется для обеспечения безопасности своего устройства устанавливать приложения Android только из Google Play Store, а не из других источников. Также важно знать, что они загружают из Play Store.

“На Google Play Store все еще много дропперов, так как это, похоже, эффективное средство распространения,” - сказал ThreatFabric. “Тем не менее, большинство банковских троянов для Android, похоже, распространяются через смс-фишинг/фишинг и побочную загрузку.”

Источник: Bleeping Computer