Sicherheitsforscher haben eine weitere gefährliche Bedrohung entdeckt, die bei mobilen Benutzern gezielt wird. Die MysteryBot Android Trojan ist die neueste Offensive Taktik gegen mobile Geräte, wie es auf globaler Ebene gestartet wird. Es ist, als eine kritische Bedrohung aufgrund der Tatsache bewertet, dass es zu gefährlichen Veränderungen im System hat, kann, viele von ihnen die Sicherheit und Privatsphäre der Gerätebesitzer beteiligt.
MysteryBot Android Trojan Revealed: Methods of Infection
Der MysteryBot Android Trojan wurde nach einer kürzlichen Untersuchung eines bösartigen Tropfer entdeckt, die ursprünglich verwendet wurden, mit den Ziele zu infizieren GandCrab Ransomware. Offenbar waren die Tropfer Teil eines Botnetzes Netzwerkes, das individuell angepasst werden kann eine breite Palette von Computer-Bedrohungen zu liefern - sowohl Desktop-Viren, Ransomware, Trojaner und mobile Malware. Die Forschung zeigt, dass es durch kriminelle Gruppen verwendet wird, die alle Arten von Bedrohungen ihrer beabsichtigten Opfer sind bekannt zu nutzen.
Die durchgeführte Analyse zeigt, dass die gleichen Hacker gesteuerte Server, die Macht MysteryBot für die verantwortlich sind LokiBot Banking-Trojaner. Diese Tatsache kann bedeuten, dass sie von der gleichen kriminellen kollektiven betrieben wird.
Botnets senden in der Regel aus bulk E-Mail-SPAM-Nachrichten dass die Verwendung verschiedener Social-Engineering Taktiken, die die Opfer in der Interaktion mit den gefährlichen Elementen zu zwingen versuchen,. Sie sind in der Regel entweder die direkt auf die Nachrichten oder Hyperlinks in den Körperinhalt. Diese besondere E-Mail SPAM-Welle kann Text und Grafiken von beliebten Software-Unternehmen oder Dienstleistungen getroffen, um verwenden, um sie die infizierten Dateien zu machen herunterladen. Diese besondere Kampagne scheint zwei gefälschte Versionen des liefern Adobe Flash Player.
MysteryBot Android Trojan Capabilities
Sobald die MysteryBot Android Trojan die Zielgeräte infiziert hat, kann es sofort eine der integrierten Befehle ausführen. Die Sicherheitsexperten konnten eine Liste aller möglichen Aktionen ernten:
- CallToNumber Ruft eine angegebene Telefonnummer aus dem infizierten Gerät -.
- Kontakte - Ruft Kontaktliste Informationen (Telefonnummer und den Namen der Kontakte).
- De_Crypt - Kein Code vorhanden, in Entwicklung (wahrscheinlich entschlüsselt die Daten / Umkehren der Ransomware).
- ForwardCall - Leitet eingehende Anrufe des Geräts an eine andere Nummer.
- GetAlls - Verkürzte für GetAllSms, kopiert alle SMS-Nachrichten aus dem Gerät.
- Post bekommen - Kein Code vorhanden, in Entwicklung (wahrscheinlich E-Mails aus dem infizierten Gerät gestohlen).
- Keylogg - Kopieren und speichert Tastatureingaben auf dem infizierten Gerät ausgeführt.
- ResetCallForwarding - Stoppen die Weiterleitung eingehender Anrufe.
- Bildschirmsperre Verschlüsselt alle Dateien im externen Speicherverzeichnis und löscht alle Kontaktinformationen auf dem Gerät -.
- Send_spam - Sendet eine gegebene SMS-Nachricht an jeden Kontakt in der Kontaktliste des Gerätes.
- Smsmnd - Ersetzt den Standard-SMS-Manager auf dem Gerät, bedeutete für SMS Interception.
- StartApp - Kein Code vorhanden, in Entwicklung (wahrscheinlich ermöglicht remote-Anwendung auf dem infizierten Gerät zu starten).
- USSD - Ruft eine USSD-Nummer aus dem infizierten Gerät.
- dell_sms Löscht alle SMS-Nachrichten auf dem Gerät -.
- SMS senden - Sendet eine gegebene SMS-Nachricht an eine bestimmte Anzahl.
Die Analyse zeigt auch, dass der zugrunde liegende Motor in der Natur so dass der Hacker-Betreiber modular einreichen benutzerdefinierte Befehle. Da die neueren Versionen des Android-Betriebssystem (7 und 8) Mobile Banking Lösungen - die Hacker-Taktik von Overlays über vom Benutzer installierten Anwendungen zu erstellen ist behoben, Zahlungsdienste oder Web-Browser. Dies hat die kriminellen Entwickler aufgefordert, eine neue Lösung zu denken, die gehen um die Systemschutzmaßnahmen fähig ist. Die neue Technik Mißbräuche ein Service Erlaubnis genannt PAKET Nutzungsstatistiken das ist zugänglich über die Zugänglichkeit Service-Erlaubnis. Als Folge davon kann eine andere Erlaubnis ohne Zustimmung ermöglichen und Missbrauch des Benutzers.
Die durchgeführte Code-Analyse zeigt, dass die erfassten Stämme der MysteryBot Android Trojan einen speziell entwickelte Keylogger enthalten. Dies zeigt, dass der Hacker eine völlig neue Virus-Komponente erstellt hat. Dies macht es sehr schwer zu erkennen, wie seine Unterschrift nicht für alle Sicherheitslösungen zur Verfügung steht. Diese Komponente verwendet auch eine Nicht-Standard-Ansatz in Flugzeugentführung der Benutzerinformationen durch ein Raster-Layout der Schlüsselpositionen der Tastatur Schaffung. Der eingebaute Algorithmus arbeitet sowohl für die horizontalen und vertikalen Einsatz. Im Moment scheint es immer noch in einer Testphase zu sein, wie eine Report-Methode noch nicht implementiert wurde.
MysteryBot Android Trojan Weitere Bedrohungen
Die MysteryBot Android Trojan enthält mehrere andere Module, die Teil seiner Hauptmaschine sind. Eines der wichtigsten davon ist die Einbau-Ransomware namens Mystery_L0cker. Wie seine Desktop-Äquivalente erlaubt es die Kriminellen eine Dateiverschlüsselungsoperation zu ermöglichen, die sensible Benutzerdaten zielt. Es folgt ein voreingestelltes Verhalten, das aus den folgenden Schritten besteht:
- Das Virus-Engine scannt das lokale System nach Dateien nach der integrierten Liste von Ziel Erweiterungen Dateityp.
- Jede Datei wird in einer einzelnen ZIP-Archiv-Datei abgelegt.
- Ein Passwort wird durch den Motor zur Laufzeit erzeugt einen komplexen Algorithmus.
Wenn der Verschlüsselungsvorgang abgeschlossen ist eine notiifcation-Nachricht wird an die Opfer erstellt und präsentiert. Sie werden von den Betreibern erpressen, indem sie eine Meldung angezeigt, dass sie pornografische Materialien beobachtet haben. Gemäß der Nachricht werden die Opfer erpresst, dass sie ihre Geräte per Email an den Hacker wiederherstellen.
Die installierten Instanzen des MysteryBot Android Trojaner kann ein Kontakt Hacker-gesteuerten Server um Anweisungen zum Zugriff auf, wie bestimmte Bankanwendungen zu überlagern. Dies wird getan, um die Nutzer zu täuschen, dass sie ihre Anmeldeinformationen an den Trojan treten selbst. Bei auszugsweise Liste der Ziel Anwendungen umfasst die folgenden Instanzen:
easy, Volksbank Banking, Bankwest, INGAustraliaBanking, NABMobileBanking, SuncorpBank, INGDirectFrance,
RaiffeisenSmartMobile, akbankdirekt, ANZAustralia, AOL-News Post & Video, AxisMobile-FundTransfer,UPI,Aufladen&Zahlung,
Bank Österreich Mobile Banking, BankinterMóvil, BBVA Spanien, BBVANetcash PT, BendigoBank, BoursoramaBanque, Bank, ChaseMobile,
CIBCMobileBanking®, CIC, CitibankAustralia, FifthThirdMobileBanking, Crédit Mutuel, CommBank, iMobilebyICICIBank, Gumtree:Suche,
Kaufen&Verkaufen, Facebook, Facebook Messenger-TextandVideoChatforFree, QNBFinansbankCepSubesi, LaBanquePostale, GarantiMobileBanking,
GetinMobile, LloydsBankMobileBanking, Halifax:thebankingappthatgivesyouextra, HSBCMobileBanking, BankofAmericaMobileBanking, RaiffeisenELBA,
CapitalOne®Mobile, CitiHandlowy, Kutxabank, MACIF-Essentielpourmoi, Microsoft Outlook, Skrill, Neteller, CréditduNordpourMobile, PayPal,
İşCep, Ruralvía, SBIAnywherePersonal, Skype, HDFCBankMobileBanking, Sparkasse+FinanzenimGriff, SparkasseIhremobileFiliale,
SunTrustMobile, TDCanada, BancaMóvilLaboralKutxa, halkbankmobil, BancolombiaAppPersonas, UnionBankMobileBanking, USAAMobile,
U.S.Bank, vakıfbankmobilbankacılık, ViberMessenger, WhatsApp Messenger, Yahoo-StayOrganized, yapıkredimobil zu, ziraatmobil,
comdirectmobileApp, CommerzbankBankingApp, Consorsbank, DKB-Banking, VR-Banking, PostbankFinanzassistent, SpardaApp,
Beliebt, Santander, Bankia, EVOBancomóvil, CaixaBank, Bank Pekao, PekaoBiznes24, MobileBank, HVBMobileB @ nking,
BanquePopulaire, MaBanque, MesComptes-LCLpourmobile, Mobile Banking, BarodamPassbook, die AppliSociétéGénérale,
SantanderMobileBanking, MesComptesBNPParibas, BankSAMobileBanking, BankofMelbourneMobileBanking, St.GeorgeMobileBanking,
WestpacMobileBanking, BZWBK24mobile, eurobankmobile, TokeniPKO, mBankPL, IKO , Banca Transilvania, IDBIBankGOMobile,
BankMillennium
MysteryBot Android Trojan Infektionen Incoming
Auch wenn das Virus eine beträchtliche ein aufgrund seiner vielen Funktionen und erweiterte Infiltrationsverfahren ist. Allerdings sind einige der enthaltenen Komponenten noch in der Entwicklung und die Sicherheitsexperten behaupten, dass seine sehr möglich, dass zukünftige Versionen davon eine noch größere Auswirkungen haben.
Eines der prominentesten Beispiele ist die Zugabe von neuer Funktionalität mit dem Netzwerk-Anschlussmodul. Erweiterte Versionen von mobilen Trojaner können auch die Fähigkeit hinzufügen, auf die Opfer in Echtzeit bespitzeln, sowie Erntedaten, die die Benutzer persönlich identifizieren können. Dies wird ermöglicht, indem für Strings suchen, die ihren Namen aussetzen kann, Anschrift, Lage, Interessen, Telefonnummer, Passwörter und Kontoinformationen.
Eine weitere mögliche Entwicklung des MysteryBot Android Trojan ist die Aufnahme eines Überwachung Komponente. Es würde die Hacker-Betreiber ermöglichen, sich auf den Gerätebesitzer zu einem bestimmten Zeitpunkt bespitzeln und übernehmen auch die Kontrolle über sie.
Da die Infektionen Ziele geschoben werden weiterhin weltweit können wir die gepatchten Versionen sehen. Alle Android-Nutzer sollten extreme Vorsicht walten zu lassen.