MysteryBot Android troyano descubierto en Campaña Mundial Ataque
CYBER NOTICIAS

Cuidado con los usuarios de Android: MysteryBot troyano puede cifrar sus archivos

com imagen sensorstechforum imagen MysteryBot Android de Troya

Los investigadores de seguridad han descubierto una nueva amenaza peligrosa que se está dirigido a usuarios móviles. El Android de Troya MysteryBot es la última táctica ofensiva en contra de los dispositivos móviles a medida que se puso en marcha a escala global. Está clasificado como una amenaza crítica debido al hecho de que ha puede dar lugar a modificaciones en el sistema peligrosos, muchas de ellas relacionadas con la seguridad y la privacidad de los usuarios de dispositivos.

MysteryBot Android de Troya Revelado: Métodos de Infección

El MysteryBot Android troyano fue descubierto después de una reciente investigación de un gotero malicioso que se utilizó inicialmente para infectar a los objetivos con el GandCrab ransomware. Al parecer, los goteros eran parte de una red botnet que puede ser personalizado para ofrecer una amplia gama de amenazas informáticas - ambos virus de escritorio, ransomware, Troyanos y malware móvil. La investigación muestra que está siendo utilizado por los grupos criminales que se sabe que aprovechar todo tipo de amenazas a sus víctimas previstas.

El análisis realizado muestra que los mismos servidores de hackers controlado que MysteryBot energía es responsable de la LokiBot troyano bancario. Este hecho puede significar que está siendo operado por el mismo colectivo penal.

Las redes de bots por lo general envían a granel mensajes de correo electrónico SPAM que el uso de diferentes la ingeniería social tácticas que intentan forzar a las víctimas a interactuar con los elementos peligrosos. Por lo general son bien unido directamente a los mensajes o hipervínculos en el contenido del cuerpo. Esta ola de SPAM de correo electrónico en particular puede utilizar texto y gráficos tomados de las compañías de software o servicios populares con el fin de hacer que se descargan los archivos infectados. Esta campaña en particular parece ofrecer dos versiones falsificadas de la Adobe Flash Player.




Capacidades MysteryBot Android de Troya

Una vez que el MysteryBot Android troyano ha infectado a los dispositivos de destino se puede ejecutar de inmediato uno de los comandos internos. Los investigadores de seguridad han sido capaces de cosechar una lista de todas las acciones posibles:

  • CallToNumber - Pide un número de teléfono dado desde el dispositivo infectado.
  • Contactos - Obtiene información de la lista de contactos (número de teléfono y nombre de los contactos).
  • De_Crypt - Ningún código actual, en desarrollo (Probablemente descifra los datos / revertir el ransomware).
  • ForwardCall - reenvía las llamadas entrantes del dispositivo a otro número.
  • GetAlls - acortado para GetAllSms, copia todos los mensajes SMS desde el dispositivo.
  • Conseguir el correo - Ningún código actual, en desarrollo (Probablemente el robo de mensajes de correo electrónico desde el dispositivo infectado).
  • Keylogg - Copia y guarda las pulsaciones de teclado realizadas en el dispositivo infectado.
  • ResetCallForwarding - Detiene el reenvío de las llamadas entrantes.
  • Bloqueo de pantalla - Cifra todos los archivos en el directorio de almacenamiento externo y borra toda la información de contacto en el dispositivo.
  • Send_spam - Envía un mensaje SMS dado a cada contacto en la lista de contactos del dispositivo.
  • Smsmnd - Sustituye el gestor de SMS predeterminada en el dispositivo, significó para la interceptación de SMS.
  • startApp - Ningún código actual, en desarrollo (Probablemente permite activar remotamente la aplicación en el dispositivo infectado).
  • USSD - llama a un número USSD desde el dispositivo infectado.
  • dell_sms - Borra todos los mensajes SMS en el dispositivo.
  • enviar SMS - Envía un mensaje SMS dado a un número específico.

El análisis también muestra que el motor subyacente es de naturaleza modular que permite a los operadores de hackers que presente comandos personalizados. Como las versiones más recientes del sistema operativo Android (7 y 8) se fija la táctica de crear superposiciones de hackers más de las aplicaciones instaladas por el usuario - soluciones de banca móvil, servicios de pago o navegadores web. Esto ha llevado a los desarrolladores criminales a pensar en una nueva solución que es capaz de dar vueltas medidas de protección del sistema. Los nuevos abusos técnica de un servicio llamado permiso STATS PAQUETE DE USO que es accesible a través del Servicio de Accesibilidad permiso. Como consecuencia de ello se puede activar y abusar de cualquier otro permiso y sin el consentimiento del usuario.

El análisis de código realizado muestra que las cepas capturada de la MysteryBot Android Trojan contiene una keylogger especialmente ideado. Esto demuestra que los piratas informáticos han creado todo un nuevo componente del virus. Esto hace que sea muy difícil de detectar ya que su firma puede no estar disponible para todas las soluciones de seguridad. Este componente también utiliza una enfoque no estándar en el secuestro de la información del usuario mediante la creación de un diseño de cuadrícula de las posiciones clave del teclado. El algoritmo incorporado funciona tanto para uso horizontal y vertical. Por el momento, parece estar aún en una fase de prueba como método informe no se ha aplicado todavía.

MysteryBot Android de Troya Amenazas adicionales

El Android de Troya MysteryBot contiene varios otros módulos que forman parte de su motor principal. Uno de los principales es la incorporada ransomware llamada Mystery_L0cker. Al igual que sus equivalentes de escritorio que permite a los criminales para permitir una operación de cifrado de archivos que se dirige a los datos de usuario sensibles. De ello se deduce un comportamiento predefinido que consta de los siguientes pasos:

  • El motor anti-virus escanea el sistema local de archivos de acuerdo a la lista integrada de extensiones de tipos de archivo de destino.
  • Cada archivo se coloca en un archivo ZIP individuo.
  • Una contraseña se genera por el motor en tiempo de ejecución utilizando un algoritmo complejo.

Cuando el proceso de cifrado es completa se crea un mensaje notiifcation y se presentó a las víctimas. Ellos son chantajeados por los operadores, mostrándoles un mensaje que han estado viendo material pornográfico. De acuerdo con el mensaje de las víctimas son chantajeados que puedan restaurar sus dispositivos por correo electrónico a los piratas informáticos.

Las instancias instaladas de la MysteryBot Android de Troya pueden ponerse en contacto con una servidor pirata informático controlado con el fin de acceder a las instrucciones sobre la manera de superponer ciertas aplicaciones de banca. Esto se hace con el fin de engañar a los usuarios que están entrando en sus credenciales a la propia Troya. En lista parcial de las aplicaciones diana incluye los siguientes casos:

Easybank, Volksbank Banca, Bankwest, INGAustraliaBanking, NABMobileBanking, SuncorpBank, INGDirectFrance,
Raiffeisen móvil elegante, akbankdirekt, ANZAustralia, AOL-mail Noticias & Vídeo, AxisMobile-FundTransfer,UPI,Recargar&Pago,
Bank Austria Banca Móvil, BankinterMóvil, BBVA España, BBVANetcash PT, BendigoBank, BoursoramaBanque, Banco, ChaseMobile,
CIBCMobileBanking®, CIC, CitibankAustralia, FifthThirdMobileBanking, Crédit Mutuel, CommBank, iMobilebyICICIBank, gu:Búsqueda,
Comprar&Vender, Facebook, Facebook Messenger-TextandVideoChatforFree, QNBFinansbankCepSubesi, LaBanquePostale, GarantiMobileBanking,
GetinMobile, LloydsBankMobileBanking, Halifax:thebankingappthatgivesyouextra, HSBCMobileBanking, BankofAmericaMobileBanking, Raiffeisen de Elba,
CapitalOne®Mobile, CitiHandlowy, Kutxabank, FICAM-Essentielpourmoi, Microsoft Outlook, skrill, NETELLER, CréditduNordpourMobile, PayPal,
İşCep, ruralvía, SBIAnywherePersonal, Skype, HDFCBankMobileBanking, Sparkasse + FinanzenimGriff, SparkasseIhremobileFiliale,
SunTrustMobile, TDCanada, BancaMóvilLaboralKutxa, halkbankmobil, BancolombiaAppPersonas, UnionBankMobileBanking, USAAMobile,
U.S.Bank, vakıfbankmobilbankacılık, ViberMessenger, Mensaje de Whatssap, YahooMail-StayOrganized, yapıkredimobil a, ziraatmobil,
comdirectmobileApp, CommerzbankBankingApp, Consorsbank, DKB-Banking, VR-Banking, Asistente de Finanzas Postbank, SpardaApp,
Popular, Santander, Bankia, EVOBancomóvil, CaixaBank, Bank Pekao SA, PekaoBiznes24, MobileBank, HVBMobileB @ Nking,
BanquePopulaire, MaBanque, MesComptes-LCLpourmobile, La banca móvil, BarodamPassbook, el AppliSociétéGénérale,
SantanderMobileBanking, MesComptesBNPParibas, BankSAMobileBanking, BankofMelbourneMobileBanking, St.GeorgeMobileBanking,
WestpacMobileBanking, BZWBK24mobile, eurobankmobile, TokeniPKO, mBankPL, IKO , Banca Transilvania, IDBIBankGOMobile,
Banco del Milenio

Artículo relacionado: Dardesh Android App chat puede ser espionaje a usted

MysteryBot Android de Troya ella infecciones

A pesar de que el virus es un gran uno debido a sus muchas características y métodos de infiltración avanzada. Sin embargo algunos de los componentes incluidos están aún en desarrollo y los expertos de seguridad del estado que es muy posible que las futuras versiones de que tendrán un impacto aún mayor.

Uno de los ejemplos más destacados es la adición de la funcionalidad más reciente al módulo de conexión a la red. versiones avanzadas de troyanos móviles también pueden añadir la capacidad de espiar a las víctimas en tiempo real, así como los datos de la cosecha que pueda identificar personalmente a los usuarios. Esto es posible mediante la búsqueda de cadenas que pueden exponer a su nombre, dirección, ubicación, intereses, número de teléfono, contraseñas y credenciales de la cuenta.

Otra posible desarrollo del Android de Troya MysteryBot es la inclusión de una vigilancia componente. Esto permitiría a los operadores de hackers para espiar a los propietarios de dispositivos en un momento dado y también tomar el control de ellos.

A medida que continúan para ser empujado a los objetivos de las infecciones en todo el mundo podemos ver las versiones parcheadas. Todos los usuarios de Android se aconseja extremar la precaución.

avatar

Martin Beltov

Martin se graduó con un título en Edición de la Universidad de Sofía. Como un entusiasta de la seguridad cibernética que le gusta escribir sobre las últimas amenazas y mecanismos de intrusión.

Más Mensajes - Sitio web

Sígueme:
Gorjeogoogle Plus

Dejar un comentario

Su dirección de correo electrónico no será publicada. Los campos necesarios están marcados *

Se agotó el tiempo límite. Vuelve a cargar de CAPTCHA.

Compartir en Facebook Compartir
Cargando ...
Compartir en Twitter Pío
Cargando ...
Compartir en Google Plus Compartir
Cargando ...
Compartir en Linkedin Compartir
Cargando ...
Compartir en Digg Compartir
Compartir en Reddit Compartir
Cargando ...
Compartir en Stumbleupon Compartir
Cargando ...