I ricercatori di sicurezza hanno individuato un'altra pericolosa minaccia che viene destinato agli utenti di telefonia mobile. Il MysteryBot Android Trojan è l'ultima tattica offensiva contro i dispositivi mobili in quanto è in fase di lancio su scala globale. Si è valutato come una minaccia critica a causa del fatto che è in grado di portare a modifiche del sistema pericolose, molti di loro che coinvolgono la sicurezza e la privacy dei proprietari di dispositivi.
MysteryBot Android Trojan Rivelato: Metodi di infezione
Il MysteryBot Android Trojan è stato scoperto a seguito di una recente indagine di un contagocce malevolo che è stato inizialmente utilizzato per infettare gli obiettivi con il GandCrab ransomware. A quanto pare i contagocce facevano parte di una rete botnet che può essere personalizzato per fornire una vasta gamma di minacce informatiche - entrambi i virus per desktop, ransomware, Trojan e malware mobile. La ricerca dimostra che è utilizzato da gruppi criminali che sono noti per sfruttare tutti i tipi di minacce alla loro vittime designate.
L'analisi effettuata dimostra che gli stessi server di hacker controllato che il potere MysteryBot sono responsabili della LokiBot Trojan bancari. Questo fatto può significare che esso viene gestito dallo stesso collettivo criminale.
Le botnet solitamente il grosso messaggi e-mail SPAM che utilizzano vari ingegneria sociale tattiche che tentano di costringere le vittime a interagire con gli elementi pericolosi. Essi sono di solito o collegato direttamente ai messaggi o collegamento ipertestuale nei contenuti corpo. Questo particolare onda e-mail SPAM può utilizzare testo e grafica tratto da aziende o servizi software popolari, al fine di renderli scaricare i file infetti. Questa particolare campagna sembra offrire due versioni contraffatte del Adobe Flash Player.
Funzionalità MysteryBot Android di Troia
Una volta che il MysteryBot Android Trojan ha infettato i dispositivi di destinazione può immediatamente eseguire uno dei comandi incorporati. I ricercatori di sicurezza sono stati in grado di raccogliere un elenco di tutte le azioni possibili:
- CallToNumber - chiede un dato numero di telefono dal dispositivo infetto.
- Contatti - Ottiene informazioni elenco di contatti (il numero di telefono e il nome di contatti).
- De_Crypt - Nessun codice presente, in sviluppo (probabilmente decripta i dati / invertire la ransomware).
- ForwardCall - inoltra le chiamate in arrivo del dispositivo a un altro numero.
- GetAlls - accorciato per GetAllSms, copia tutti i messaggi SMS dal dispositivo.
- Ricevere posta - Nessun codice presente, in sviluppo (probabilmente rubare messaggi di posta elettronica dal dispositivo infetto).
- Keylogg - Copia e salva le battiture effettuate sul dispositivo infetto.
- ResetCallForwarding - Interrompe l'inoltro delle chiamate in arrivo.
- Blocco schermo - crittografa tutti i file nella directory di archiviazione esterna e cancella tutte le informazioni di contatto sul dispositivo.
- Send_spam - Invia un dato messaggio SMS ad ogni contatto nella lista dei contatti del dispositivo.
- Smsmnd - Sostituisce il manager di default SMS sul dispositivo, significava per intercettazione SMS.
- startApp - Nessun codice presente, in sviluppo (probabilmente permette di avviare da remoto applicazione sul dispositivo infetto).
- USSD - chiama un numero USSD dal dispositivo infetto.
- dell_sms - Elimina tutti i messaggi SMS sul dispositivo.
- inviare SMS - Invia un dato messaggio SMS ad un numero specifico.
L'analisi mostra anche che il motore sottostante è modulare in natura consentendo agli operatori di hacker a presentare comandi personalizzati. Come le versioni più recenti del sistema operativo Android (7 e 8) hanno fissato la tattica degli hacker di creare sovrapposizioni oltre le applicazioni installate dall'utente - le soluzioni di mobile banking, servizi di pagamento o browser web. Ciò ha spinto gli sviluppatori criminali di pensare a una nuova soluzione che è in grado di andare in giro misure di protezione del sistema. La nuova tecnica abusi un permesso servizio chiamato STATISTICHE PACCHETTO D'USO che è accessibile attraverso il permesso Accessibilità Servizio. Di conseguenza può abilitare e abusare di qualsiasi altro permesso senza il consenso dell'utente.
L'analisi del codice effettuata dimostra che i ceppi catturate del MysteryBot Android Trojan contiene una keylogger appositamente concepito. Questo dimostra che gli hacker hanno creato uno completamente nuovo componente virus. Questo rende molto difficile da rilevare come la sua firma potrebbe non essere disponibile per tutte le soluzioni di sicurezza. Questo componente utilizza anche un approccio non standard a dirottare le informazioni dell'utente creando un layout di griglia delle posizioni dei tasti della tastiera. L'algoritmo incorporato funziona sia per uso orizzontale e verticale. Al momento sembra essere ancora in una fase di test come metodo relazione non è stata ancora implementata.
MysteryBot Android Trojan ulteriori minacce
Il MysteryBot Android Trojan contiene diversi altri moduli che fanno parte del suo motore principale. Una di quelle principali è la built-in ransomware detto Mystery_L0cker. Come i suoi equivalenti desktop permette ai criminali per consentire un'operazione di crittografia dei file che gli obiettivi di dati sensibili degli utenti. Ne consegue un comportamento prestabilito che è costituito dai seguenti passaggi:
- Il motore antivirus esegue la scansione del sistema locale per i file in base alla lista built-in di estensioni di file di destinazione.
- Ogni file viene inserito in un file di archivio ZIP individuale.
- Una password è generata dal motore in fase di esecuzione utilizzando un algoritmo complesso.
Quando il processo di crittografia è completo viene creato un messaggio notiifcation e presentato alle vittime. Essi sono ricattati dagli operatori, mostrando loro un messaggio che essi sono stati a guardare materiale pornografico. Secondo il messaggio le vittime vengono ricattati da poter ripristinare i loro dispositivi via email gli hacker.
Le istanze installate del MysteryBot Android Trojan possono contattare un server di hacker controllato al fine di accedere alle istruzioni su come sovrapporre certe applicazioni bancarie. Questo viene fatto al fine di ingannare gli utenti che stanno entrando le loro credenziali al Trojan si. Alla lista parziale delle applicazioni di destinazione include i seguenti casi:
EASYBANK, Volksbank Banking, BankWest, INGAustraliaBanking, NABMobileBanking, SuncorpBank, INGDirectFrance,
Raiffeisen mobile astuto, akbankdirekt, ANZAustralia, AOL-News posta & Video, AxisMobile-FundTransfer,UPI,Ricaricare&Pagamento,
Bank Austria Mobile Banking, BankinterMóvil, BBVA in Spagna, BBVANetcash PT, BendigoBank, BoursoramaBanque, banca, ChaseMobile,
CIBCMobileBanking®, CIC, CitibankAustralia, FifthThirdMobileBanking, Crédit Mutuel, CommBank, iMobilebyICICIBank, albero della gomma:Ricerca,
Acquistare&Vendere, Facebook, Facebook Messenger-TextandVideoChatforFree, QNBFinansbankCepSubesi, LaBanquePostale, GarantiMobileBanking,
GetinMobile, LloydsBankMobileBanking, Halifax:thebankingappthatgivesyouextra, HSBCMobileBanking, BankofAmericaMobileBanking, Raiffeisen Elba,
CapitalOne®Mobile, CitiHandlowy, Kutxabank, MACIF-Essentielpourmoi, Microsoft Outlook, Skrill, NETELLER, CréditduNordpourMobile, PayPal,
İşCep, Ruralvía, SBIAnywherePersonal, Skype, HDFCBankMobileBanking, Sparkasse + FinanzenimGriff, SparkasseIhremobileFiliale,
SunTrustMobile, TDCanada, BancaMóvilLaboralKutxa, halkbankmobil, BancolombiaAppPersonas, UnionBankMobileBanking, USAAMobile,
U.S.Bank, vakıfbankmobilbankacılık, ViberMessenger, Whatsapp messenger, YahooMail-StayOrganized, yapıkredimobil a, ziraatmobil,
comdirectmobileApp, CommerzbankBankingApp, Consorsbank, DKB-Banking, VR-Banking, Postbank Finance Assistant, SpardaApp,
Popolare, Santander, Bankia, EVOBancomóvil, CaixaBank, Bank Pekao, PekaoBiznes24, MobileBank, HVBMobileB @ nking,
BanquePopulaire, MaBanque, MesComptes-LCLpourmobile, Servizi bancari per smarthpone, BarodamPassbook, L'AppliSociétéGénérale,
SantanderMobileBanking, MesComptesBNPParibas, BankSAMobileBanking, BankofMelbourneMobileBanking, St.GeorgeMobileBanking,
WestpacMobileBanking, BZWBK24mobile, eurobankmobile, TokeniPKO, mBankPL, IKO , BancaTransilvania, IDBIBankGOMobile,
Bank Millennium
MysteryBot Android Trojan di agenti infettivi
Anche se il virus è un notevole uno grazie alla sua molte caratteristiche e metodi di infiltrazione avanzati. Tuttavia alcuni dei componenti inclusi sono ancora in fase di sviluppo e gli esperti di sicurezza affermare che la sua molto probabile che le future versioni di esso avranno un impatto ancora più grande.
Uno degli esempi più importanti è l'aggiunta di funzionalità più recente al modulo di connessione di rete. versioni avanzate di Trojans mobile possono anche aggiungere la possibilità di spiare le vittime in tempo reale, così come i dati di raccolta in grado di identificare personalmente gli utenti. Ciò è reso possibile dalla ricerca di stringhe che possono esporre il loro nome, indirizzo, posizione, interessi, numero di telefono, password e credenziali di account.
Un altro possibile sviluppo del MysteryBot Android Trojan è l'inclusione di un sorveglianza componente. Essa consentirebbe agli operatori degli hacker per spiare i proprietari di dispositivi in qualsiasi momento e anche prendere il controllo della loro.
Mentre le infezioni continuano ad essere spinto a obiettivi in tutto il mondo possiamo vedere la versione patchata. Tutti gli utenti Android sono invitati a prestare la massima attenzione.