Accueil > Nouvelles Cyber > Méfiez-vous des utilisateurs d'Android: MysteryBot cheval de Troie peut Crypter vos fichiers
CYBER NOUVELLES

Les utilisateurs Android Prenez garde: MysteryBot cheval de Troie peut Crypter vos fichiers

MysteryBot Android Troie image image sensorstechforum com

Les chercheurs en sécurité ont repéré une autre menace dangereuse qui est destiné aux utilisateurs mobiles. Le cheval de Troie Android MysteryBot est la dernière tactique offensive contre les appareils mobiles comme il est en cours de lancement à l'échelle mondiale. Il est considéré comme une grave menace en raison du fait qu'il a peut conduire à des modifications du système dangereuses, beaucoup d'entre eux impliquant la sécurité et la confidentialité des propriétaires de l'appareil.

MysteryBot Android cheval de Troie Révélé: Méthodes d'infection

Le cheval de Troie MysteryBot Android a été découvert après une enquête récente d'un compte-gouttes malveillant qui a été initialement utilisé pour infecter des cibles avec le GandCrab ransomware. Apparemment, les droppers faisaient partie d'un réseau botnet qui peut être personnalisé pour offrir un large éventail de menaces informatiques - les deux virus bureau, ransomware, Les chevaux de Troie et les logiciels malveillants mobiles. La recherche montre qu'il est utilisé par des groupes criminels qui sont connus pour tirer parti de toutes sortes de menaces à leurs futures victimes.

L'analyse effectuée montre que les mêmes serveurs contrôlés pirates qui MysteryBot puissance sont responsables de la banque LokiBot cheval de Troie. Ce fait peut signifier qu'il est exploité par le même collectif criminel.

Botnets envoient généralement en vrac e-mail des messages SPAM que l'utilisation de divers l'ingénierie sociale tactiques qui tentent de contraindre les victimes en interaction avec les éléments dangereux. Ils sont généralement soit directement attaché aux messages ou hyperlinked dans le contenu du corps. Ce particulier vague de spam e-mail peut utiliser du texte et des graphiques provenant des entreprises ou des services logiciels populaires afin de les faire télécharger les fichiers infectés. Cette campagne particulière semble offrir deux versions contrefaites du Adobe Flash Player.




Fonctionnalités MysteryBot Android Trojan

Une fois que le MysteryBot Android cheval de Troie a infecté les périphériques cibles, il peut immédiatement exécuter l'une des commandes intégrées. Les chercheurs en sécurité ont été en mesure de récolter une liste de toutes les actions possibles:

  • CallToNumber - appelle un numéro de téléphone donné de l'appareil infecté.
  • Contacts - Obtient des informations de la liste des contacts (numéro de téléphone et le nom des contacts).
  • De_Crypt - Aucun code présent, en développement (déchiffre probablement les données / inverser la ransomware).
  • ForwardCall - Appels entrants Attaquants du dispositif vers un autre numéro.
  • GetAlls - Raccourcissement pour GetAllSms, copie tous les messages SMS de l'appareil.
  • GetMail - Aucun code présent, en développement (voler probablement des e-mails de l'appareil infecté).
  • Keylogg - Copier et enregistre les frappes effectuées sur l'appareil infecté.
  • ResetCallForwarding - Arrête le renvoi des appels entrants.
  • Verrouillage d'écran - Crypte tous les fichiers du répertoire de stockage externe et supprime toutes les informations de contact sur l'appareil.
  • Send_spam - Envoie un message SMS donné à chaque contact dans la liste de contacts de l'appareil.
  • Smsmnd - Remplace le gestionnaire de SMS par défaut sur l'appareil, destiné à l'interception de SMS.
  • StartApp - Aucun code présent, en développement (permet probablement de démarrer à distance l'application sur l'appareil infecté).
  • USSD - appelle un numéro USSD de l'appareil infecté.
  • dell_sms - Supprime tous les messages SMS sur le périphérique.
  • envoyer un SMS - Envoie un message SMS donné à un certain nombre.

L'analyse montre également que le moteur sous-jacent est modulaire permettant aux opérateurs de pirates de soumettre commandes personnalisées. Comme les versions les plus récentes du système d'exploitation Android (7 et 8) ont fixé la tactique de pirate informatique de créer des superpositions par rapport aux applications installées par l'utilisateur - solutions bancaires mobiles, services de paiement ou les navigateurs web. Cela a incité les développeurs criminels de penser à une nouvelle solution qui est capable de contourner les mesures de protection du système. Les nouveaux abus technique une autorisation de service appelé STATS D'UTILISATION DE L'EMBALLAGE qui est accessible par l'autorisation Accessibilité des services. En conséquence peut activer et abuser de toute autre autorisation sans le consentement de l'utilisateur.

L'analyse de code effectuée montre que les souches capturées du MysteryBot Android de Troie ne contient un keylogger spécialement conçu. Cela montre que les pirates ont créé un tout nouveau composant viral. Cela rend très difficile à détecter que sa signature ne soit pas disponible pour toutes les solutions de sécurité. Ce composant utilise également un approche non standard dans détournement d'avion des informations de l'utilisateur en créant une présentation de la grille des positions clés du clavier. L'algorithme intégré fonctionne à la fois pour une utilisation horizontale et verticale. À l'heure actuelle, il semble être encore en phase de test en tant que méthode de rapport n'a pas encore été mis en œuvre.

MysteryBot Android Troie Menaces supplémentaires

Le MysteryBot applications Trojan contient plusieurs autres modules qui font partie de son moteur principal. L'une des principales, est le intégré ransomware appelé Mystery_L0cker. Comme ses équivalents de bureau, il permet aux criminels de permettre une opération de chiffrement de fichier qui cible les données utilisateur sensibles. Il en résulte un comportement prédéfini qui comprend les étapes suivantes:

  • Le moteur antivirus scanne le système local pour les fichiers en fonction de la liste intégrée des extensions de type de fichier cible.
  • Chaque fichier est placé dans un fichier individuel d'archive ZIP.
  • Un mot de passe est généré par le moteur lors de l'exécution en utilisant un algorithme complexe.

Lorsque le processus de cryptage est terminé un message notiifcation est créé et présenté aux victimes. Ils sont soumis à un chantage par les opérateurs en leur montrant un message qu'ils ont regardé du matériel pornographique. Selon le message que les victimes sont soumis à un chantage qu'ils peuvent restaurer leurs dispositifs en envoyant les pirates.

Les instances installées du cheval de Troie Android MysteryBot peuvent contacter un serveur contrôlé hacker afin d'accéder à des instructions sur la façon de superposer certaines applications bancaires. Ceci est fait afin de tromper les utilisateurs qu'ils entrent dans leurs lettres de créance au cheval de Troie se. Au liste partielle des applications cibles comprend les cas suivants:

EASYBANK, Volksbank Banking, BankWest, INGAustraliaBanking, NABMobileBanking, SuncorpBank, INGDirectFrance,
Raiffeisen Smart Mobile, akbankdirekt, ANZAustralia, AOL-Nouvelles Courrier & Vidéo, AxisMobile-FundTransfer,UPI,Recharger&Paiement,
Bank Austria Mobile Banking, BankinterMóvil, BBVA Espagne, BBVANetcash PT, BendigoBank, BoursoramaBanque, Banque, ChaseMobile,
CIBCMobileBanking®, CIC, CitibankAustralia, FifthThirdMobileBanking, CréditMutuel, CommBank, iMobilebyICICIBank, gumtree:Recherche,
Acheter&Vendre, Facebook, Facebook Messenger-TextandVideoChatforFree, QNBFinansbankCepSubesi, LaBanquePostale, GarantiMobileBanking,
GetinMobile, LloydsBankMobileBanking, Halifax:thebankingappthatgivesyouextra, HSBCMobileBanking, BankofAmericaMobileBanking, Raiffeisen Elba,
CapitalOne®Mobile, CitiHandlowy, kutxabank, MACIF-Essentielpourmoi, Microsoft Outlook, Skrill, NETELLER, CréditduNordpourMobile, PayPal,
İşCep, Ruralvia, SBIAnywherePersonal, Skype, HDFCBankMobileBanking, Sparkasse + FinanzenimGriff, SparkasseIhremobileFiliale,
SunTrustMobile, TDCanada, BancaMóvilLaboralKutxa, halkbankmobil, BancolombiaAppPersonas, UnionBankMobileBanking, USAAMobile,
U.S.Bank, vakıfbankmobilbankacılık, ViberMessenger, WhatsApp Messenger, YahooMail-StayOrganized, yapıkredimobil à, ziraatmobil,
comdirectmobileApp, CommerzbankBankingApp, Consorsbank, DKB-Banking, VR-Banking, Postbank Finance Assistant, SpardaApp,
Populaire, Santander, Bankia, EVOBancomóvil, CaixaBank, Bank Pekao, PekaoBiznes24, MobileBank, HVBMobileB @ Nking,
BanquePopulaire, MaBanque, MesComptes-LCLpourmobile, Les services bancaires mobiles, BarodamPassbook, L'AppliSociétéGénérale,
SantanderMobileBanking, MesComptesBNPParibas, BankSAMobileBanking, BankofMelbourneMobileBanking, St.GeorgeMobileBanking,
WestpacMobileBanking, BZWBK24mobile, eurobankmobile, TokeniPKO, mBankPL, IKO , Banca Transilvania, IDBIBankGOMobile,
Millennium Bank

histoire connexes: Dardesh Android App chat peut être vous espionne

MysteryBot Android cheval de Troie Infections entrant

Même si le virus est considérable en raison de ses nombreuses caractéristiques et méthodes d'infiltration avancées. Cependant, certains des composants inclus sont encore en cours d'élaboration et les experts de sécurité affirmer que son très possible que les futures versions de celui-ci auront un impact encore plus grand.

L'un des exemples les plus importants est l'ajout de la fonctionnalité plus récente au module de connexion réseau. Les versions avancées de chevaux de Troie mobiles peuvent également ajouter la possibilité d'espionner les victimes en temps réel, ainsi que les données de récolte qui peuvent identifier personnellement les utilisateurs. Ceci est rendu possible par la recherche de chaînes qui peuvent exposer leur nom, adresse, emplacement, intérêts, numéro de téléphone, mots de passe et les informations d'identification de compte.

Un autre développement possible du MysteryBot Android Troie est l'inclusion d'un surveillance composant. Elle permettrait aux opérateurs de pirates d'espionner les propriétaires de l'appareil à tout moment et aussi prendre le contrôle de leur.

Comme les infections continuent d'être poussé à des cibles que nous pouvons dans le monde entier voir les versions patchées. Tous les utilisateurs d'Android sont invités à faire preuve de prudence extrême.

Martin Beltov

Martin a obtenu un diplôme en édition de l'Université de Sofia. En tant que passionné de cyber-sécurité, il aime écrire sur les menaces les plus récentes et les mécanismes d'intrusion.

Plus de messages

Suivez-moi:
Gazouillement

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont marqués *

Partager sur Facebook Partager
Loading ...
Partager sur Twitter Tweet
Loading ...
Partager sur Google Plus Partager
Loading ...
Partager sur Linkedin Partager
Loading ...
Partager sur Digg Partager
Partager sur Reddit Partager
Loading ...
Partager sur Stumbleupon Partager
Loading ...