• Курсы Академии Кодебай, стартующие в мае - июне, от команды The Codeby

    1. Цифровая криминалистика и реагирование на инциденты
    2. ОС Linux (DFIR) Старт: 16 мая
    3. Анализ фишинговых атак Старт: 16 мая Устройства для тестирования на проникновение Старт: 16 мая

    Скидки до 10%

    Полный список ближайших курсов ...

Android MysteryBot — вредоносное программное обеспечение влияющее на банковский сектор, которое еще хуже, чем LokiBot

BKeaton

Green Team
18.07.2018
204
336
BIT
92
Было обнаружено, что вредоносное ПО для Android, похожее на Lokibot, также влияет на банковский сектор. В прошлом году Lokibot привел в ужас всех. Банковский Троян, который мог трансформироваться в вирус-вымогатель, каждую неделю обновлялся, чтобы укрепить свою позицию в системах, которые подверглись атаке. Теперь, похоже, что у LokiBot есть брат, такой как другой банковский Троян, MysteryBot, нацеленный на устройства Android.


MysteryBot – новое вредоносное ПО, нацеленное на Android
Исследователи безопасности обнаружили еще один троян Androidа, который представляет угрозу для банковских приложений. Он получил название «MysteryBot», которое ему присвоила ThreatFabric; он ориентирован на устройства Android 7 и 8 по всему миру.
Как показали исследователи, MysteryBot оказался в какой-то степени похожим на LokiBot. Но у него также есть некоторые различия, например, в том, как он использует сетевую связь. Однако, более глубокий анализ показал, что у него есть связь с тем же сервером C & C, что и у LokiBot. Таким образом, либо его создала та же самая программа-агент, либо это улучшенная версия LokiBot.


Вредоносная программа обладает исключительными возможностями, полностью контролируя уязвимое устройство. Он может совершать звонки с телефона, получать доступ к телефонной книге, копировать текстовые сообщения, управлять переадресацией вызовов и работать в качестве клавиатурного шпиона (кейлоггера). Кроме того, он также может шифровать все файлы во внешнем хранилище и может удалять контактные данные с устройства.
Что касается точки входа, вредоносное программное обеспечение может войти в ваше устройство, замаскировав себя как Adobe Flash Player. Он будет использовать новую технологию из-за улучшений, сделанных в Android 7 и 8.
«С введением версий 7 и 8 Android ранее использованные методы наложения считались недоступными, что заставило финансово-мотивированную программу-агента найти новый способ использования наложений в их банковских вредоносных программах».


Исследователи в дальнейшем объяснили, что:
«Новая технология была придумана и в настоящее время используется, она злоупотребляет Android PACKAGE_USAGE_STATS permission (обычно называемым разрешением доступа к использованию).
Код MysteryBot был объединен с так называемым методом PACKAGE_USAGE_STATS. Поскольку злоупотребление этими разрешениями для Android требует, чтобы жертва предоставляла разрешения на использование, MysteryBot использует популярную услугу Accessibility Service, позволяя Троянам разрешать и злоупотреблять любыми требуемыми разрешениями без согласия жертвы».


MysteryBot будет нацелен на несколько банковских приложений
Хотя вредоносное программное обеспечение может делать практически все, что ему нравится, после заражения устройства, его основной целью, предположительно, являются банковские приложения. Исследователи предоставили длинный список таких приложений, которые могут быть специфической целью этого вредоносного программного обеспечения.
MysteryBot может выполнять мобильные банковские операции без знания или согласия жертвы. Поскольку все будет осуществляться кажущимся законным способом через устройство жертвы, финансовые учреждения столкнутся с трудностями при обнаружении злонамеренных действий.

Перевод: Анна Давыдова
Источник:
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!