Sikkerhed forskere har opdaget en anden farlig trussel, der bliver rettet mod mobile brugere. Den MysteryBot Android Trojan er den seneste offensiv taktik mod mobile enheder, som det bliver lanceret på en global skala. Det er klassificeret som en kritisk trussel på grund af det faktum, at det har, kan føre til farlige systemændringer, mange af dem involverer sikkerhed og privatlivets fred af ejerne enhedens.
MysteryBot Android Trojan Revealed: Fremgangsmåder til infektion
Den MysteryBot Android trojanske blev opdaget efter en nylig undersøgelse af en ondsindet dropper, der oprindeligt blev brugt til at inficere mål med den GandCrab ransomware. Tilsyneladende pipetter var en del af et botnet-netværk, der kan tilpasses til at levere en bred vifte af computer trusler - både desktop virus, ransomware, Trojanske heste og mobil malware. Forskningen viser, at det bliver brugt af kriminelle grupper, der er kendt for at udnytte alle former for trusler mod deres tilsigtede ofre.
Den udførte analyse viser, at de samme hacker-kontrollerede servere, power MysteryBot er ansvarlige for LokiBot bank Trojan. Dette faktum kan betyde, at det bliver drevet af den samme kriminelle kollektiv.
Botnet normalt sende hovedparten email spam-meddelelser at bruge forskellige social engineering taktik, der forsøger at tvinge ofrene i at interagere med de farlige elementer. De er som regel enten fastgjort direkte til meddelelserne eller hyperlink i kroppen indhold. Denne særlige e-mail-SPAM bølge kan bruge tekst og grafik taget fra populære software-virksomheder eller tjenester for at gøre dem hente de inficerede filer. Denne særlige kampagne synes at levere to falske versioner af Adobe Flash Player.
MysteryBot Android trojanske Capabilities
Når MysteryBot Android trojanske har inficeret de målenheder det kan umiddelbart udføre en af de indbyggede kommandoer. De sikkerhedseksperter har været i stand til at høste en liste over alle mulige handlinger:
- CallToNumber - Kalder en given telefonnummer fra den inficerede enhed.
- Kontakter - Gets liste kontaktoplysninger (telefonnummer og navn på kontaktpersoner).
- De_Crypt - Ingen kode til stede, i udvikling (sandsynligvis dekrypterer data / vende ransomware).
- ForwardCall - Fremad indgående opkald fra enheden til et andet nummer.
- GetAlls - Kortere til GetAllSms, kopier alle SMS-beskeder fra enheden.
- GetMail - Ingen kode til stede, i udvikling (formentlig stjæle e-mails fra den inficerede enhed).
- Keylogg - Kopier og sparer tastetryk udføres på den inficerede enhed.
- ResetCallForwarding - Stopper viderestilling af indgående opkald.
- Skærm lås - krypterer alle filer i Ekstern storage Directory og sletter alle kontaktoplysninger på enheden.
- Send_spam - Sender en given SMS-besked til hver kontakt på listen over enhedens kontakt.
- Smsmnd - Erstatter standard sms manager på enheden, betød for sms aflytning.
- StartApp - Ingen kode til stede, i udvikling (sandsynligvis gør det muligt at fjernstyre starte programmet på den inficerede enhed).
- USSD - Opkald en USSD nummer fra den inficerede enhed.
- dell_sms - Sletter alle SMS-beskeder på enheden.
- send_sms - Sender en given SMS besked til et bestemt nummer.
Analysen viser også, at den underliggende motor er modulopbygget i naturen tillade hacker operatørerne til at indsende brugerdefinerede kommandoer. Da de nyere versioner af Android-styresystemet (7 og 8) har faste hacker taktik med at skabe overlejringer end bruger-installerede programmer - mobile banking løsninger, betalingstjenester eller web-browsere. Dette har fået de kriminelle udviklere til at tænke på en ny løsning, der er i stand til at gå rundt i systemets beskyttelsesforanstaltninger. Den nye teknik misbrug en tjeneste tilladelse kaldet PAKKE brugsstatistikker som er tilgængelig via Tilgængelighed service tilladelse. Som en konsekvens kan aktivere og misbruge enhver anden tilladelse uden brugerens samtykke.
Det udførte kode analyse viser, at de indfangede stammer af MysteryBot Android Trojan indeholder en specielt udtænkt keylogger. Dette viser, at hackere har skabt en helt ny virus komponent. Dette gør det meget svært at opdage som sin underskrift ikke kan være tilgængelige for alle sikkerhedsløsninger. Denne komponent bruger også en ikke-standard tilgang i kapre brugerens oplysninger ved at oprette et gitter layout af de centrale positioner af tastaturet. Den indbyggede algoritme fungerer både vandret og lodret brug. I øjeblikket ser det ud til at være stadig i en testfase som en rapport metoden ikke er implementeret endnu.
MysteryBot Android Trojan yderligere trusler
Den MysteryBot Android trojanske indeholder flere andre moduler, der er en del af sin hovedmotor. En af de vigtigste er den indbygget ransomware kaldet Mystery_L0cker. Ligesom sine desktop-ækvivalenter det gør det muligt for kriminelle at gøre det muligt for en fil kryptering operation, der er målrettet følsomme brugerdata. Det følger en forudindstillet adfærd, der består af følgende trin:
- Den virus motor scanner det lokale system til filer i henhold til den indbyggede liste over mål filtype extensions.
- Hver fil er placeret i en enkelt zip-arkiv-fil.
- En adgangskode er genereret af motoren på runtime ved hjælp af en kompleks algoritme.
Når krypteringen er afsluttet en notiifcation besked er oprettet og præsenteret for ofrene. De er afpresset af operatørerne ved at vise dem en besked om, at de har været at se pornografisk materiale. Ifølge meddelelsen ofrene afpresset, at de kan genskabe deres enheder ved at sende en mail hackere.
De installerede forekomster af MysteryBot Android Trojan kan kontakte en hacker-kontrollerede server med henblik på at få adgang til oplysninger om, hvordan at overlejre visse banking. Dette gøres med henblik på at narre brugerne, at de er på vej ind deres akkreditiver til den trojanske selv. Ved delvis liste over målet apps indeholder følgende tilfælde:
EASYBANK, Volksbank Banking, BankWest, INGAustraliaBanking, NABMobileBanking, SuncorpBank, INGDirectFrance,
Raiffeisen Smart Mobile, akbankdirekt, ANZAustralia, AOL-News Mail & Video, AxisMobile-FundTransfer,UPI,Genoplad&Betaling,
Bank Austria Mobile Banking, BankinterMóvil, BBVA Spanien, BBVANetcash PT, BendigoBank, BoursoramaBanque, Bank, ChaseMobile,
CIBCMobileBanking®, CIC, CitibankAustralia, FifthThirdMobileBanking, Crédit Mutuel, CommBank, iMobilebyICICIBank, Gumtree:Søg,
Købe&Sælge, Facebook, Facebook Messenger-TextandVideoChatforFree, QNBFinansbankCepSubesi, LaBanquePostale, GarantiMobileBanking,
GetinMobile, LloydsBankMobileBanking, Halifax:thebankingappthatgivesyouextra, HSBCMobileBanking, BankofAmericaMobileBanking, Raiffeisen Elba,
CapitalOne®Mobile, CitiHandlowy, Kutxabank, MACIF-Essentielpourmoi, Microsoft Outlook, Skrill, NETELLER, CréditduNordpourMobile, PayPal,
İşCep, Ruralvía, SBIAnywherePersonal, Skype, HDFCBankMobileBanking, Sparkasse + FinanzenimGriff, SparkasseIhremobileFiliale,
SunTrustMobile, TDCanada, BancaMóvilLaboralKutxa, halkbankmobil, BancolombiaAppPersonas, UnionBankMobileBanking, USAAMobile,
U.S.Bank, vakıfbankmobilbankacılık, ViberMessenger, WhatsAppMessenger, YahooMail-StayOrganized, yapıkredimobil til, ziraatmobil,
comdirectmobileApp, CommerzbankBankingApp, Consorsbank, DKB-Banking, VR-Bank, Postbank Finance Assistant, SpardaApp,
Populær, Santander, Bankia, EVOBancomóvil, CaixaBank, BankPekao, PekaoBiznes24, MobileBank, HVBMobileB @ nking,
BanquePopulaire, MaBanque, MesComptes-LCLpourmobile, MobileBanking, BarodamPassbook, den AppliSociétéGénérale,
SantanderMobileBanking, MesComptesBNPParibas, BankSAMobileBanking, BankofMelbourneMobileBanking, St.GeorgeMobileBanking,
WestpacMobileBanking, BZWBK24mobile, eurobankmobile, TokeniPKO, mBankPL, IKO , Banca Transilvania, IDBIBankGOMobile,
Bank Millennium
MysteryBot Android Trojan Infektioner Indgående
Selvom virus er en betydelig én på grund af det mange funktioner og avancerede infiltration metoder. Men nogle af de inkluderede komponenter er stadig under udvikling, og sikkerhedseksperter fastslå, at den meget muligt, at fremtidige versioner af det vil have en endnu større effekt.
En af de mest fremtrædende eksempler er tilføjelsen af nyere funktionalitet til netværksforbindelsen modul. Avancerede versioner af mobile trojanske heste kan også tilføje muligheden for at udspionere ofrene i realtid, samt høst data, der kan personligt identificere brugerne. Dette er gjort muligt ved at søge efter strenge, der kan afsløre deres navn, adresse, placering, interesser, telefonnummer, adgangskoder og kontooplysninger.
En anden mulig udvikling af MysteryBot Android Trojan er indføjelsen af en overvågning komponent. Det ville gøre det muligt for hacker operatørerne til at udspionere ejerne enheden på et givent tidspunkt, og også overtage kontrollen over dem.
Som infektioner fortsat blive skubbet til mål på verdensplan kan vi se de lappede versioner. Alle Android-brugere rådes til at udvise ekstrem forsigtighed.