セキュリティ研究者は、モバイルユーザーを標的にしている別の危険な脅威を発見しました. MysteryBot Androidトロイの木馬は、世界規模で発売されているモバイルデバイスに対する最新の攻撃戦術です。. 危険なシステム変更につながる可能性があるため、重大な脅威として評価されています, それらの多くは、デバイス所有者のセキュリティとプライバシーに関係しています.
MysteryBotAndroidトロイの木馬が明らかに: 感染方法
MysteryBot Androidトロイの木馬は、ターゲットを感染させるために最初に使用された悪意のあるドロッパーの最近の調査の結果、発見されました。 GandCrabランサムウェア. どうやらドロッパーはボットネットネットワークの一部であり、カスタマイズしてさまざまなコンピューターの脅威(両方のデスクトップウイルス)を配信できるようです。, ランサムウェア, トロイの木馬とモバイルマルウェア. 調査によると、意図した被害者に対するあらゆる種類の脅威を利用することが知られている犯罪グループによって使用されています。.
実行された分析は、MysteryBotに電力を供給するのと同じハッカー制御サーバーが LokiBotバンキング型トロイの木馬. この事実は、それが同じ犯罪集団によって運営されていることを意味するかもしれません.
ボットネットは通常、大量に送信します メールスパムメッセージ いろいろ使っている ソーシャルエンジニアリング 犠牲者に危険な要素との相互作用を強要しようとする戦術. 彼らは通常どちらかです 直接取り付け メッセージにまたは ハイパーリンク ボディの中身に. この特定の電子メールスパムウェーブは、感染したファイルをダウンロードさせるために、人気のあるソフトウェア会社またはサービスから取得したテキストとグラフィックを使用する場合があります. この特定のキャンペーンは、2つの偽造バージョンを提供しているようです。 アドビフラッシュプレーヤー.
MysteryBotAndroidトロイの木馬の機能
MysteryBot Androidトロイの木馬がターゲットデバイスに感染すると、組み込みコマンドの1つをすぐに実行できます。. セキュリティ研究者は、考えられるすべてのアクションのリストを収集することができました:
- CallToNumber —感染したデバイスから特定の電話番号に電話をかける.
- 連絡先 —連絡先リスト情報を取得します (電話番号と連絡先の名前).
- De_Crypt —コードがありません, 開発中 (おそらくデータを復号化します / ランサムウェアを逆転させる).
- ForwardCall —デバイスの着信コールを別の番号に転送します.
- GetAlls —GetAllSmsの短縮, デバイスからすべてのSMSメッセージをコピーします.
- GetMail —コードがありません, 開発中 (おそらく感染したデバイスから電子メールを盗む).
- Keylogg —感染したデバイスで実行されたキーストロークをコピーして保存します.
- ResetCallForwarding —着信コールの転送を停止します.
- スクリーンロック —外部ストレージディレクトリ内のすべてのファイルを暗号化し、デバイス上のすべての連絡先情報を削除します.
- Send_spam —デバイスの連絡先リスト内の各連絡先に特定のSMSメッセージを送信します.
- Smsmnd —デバイスのデフォルトのSMSマネージャーを置き換えます, SMS傍受用.
- StartApp —コードがありません, 開発中 (おそらく感染したデバイスでリモートでアプリケーションを起動することができます).
- USSD —感染したデバイスからUSSD番号を呼び出します.
- dell_sms —デバイス上のすべてのSMSメッセージを削除します.
- SMSを送信 —特定の番号に特定のSMSメッセージを送信します.
分析はまた、基盤となるエンジンが本質的にモジュール式であり、ハッカーのオペレーターが提出できることを示しています カスタムコマンド. Androidオペレーティングシステムの新しいバージョンとして (7 と 8) ユーザーがインストールしたアプリケーション上にオーバーレイを作成するハッカーの戦術を修正しました—モバイルバンキングソリューション, 決済サービスまたはWebブラウザ. これにより、犯罪者の開発者は、システムの保護対策を回避できる新しいソリューションを考えるようになりました。. 新しい手法は、と呼ばれるサービス許可を悪用します パッケージ使用統計 アクセシビリティサービスの許可を通じてアクセス可能. 結果として、ユーザーの同意なしに他の許可を有効にして悪用する可能性があります.
実行されたコード分析は、MysteryBotAndroidトロイの木馬のキャプチャされた株が特別に考案されたキーロガーを含んでいることを示しています. これは、ハッカーがまったく新しいウイルスコンポーネントを作成したことを示しています. これにより、その署名がすべてのセキュリティソリューションで利用できるとは限らないため、検出が非常に困難になります。. このコンポーネントも使用します 非標準的なアプローチ キーボードのキー位置のグリッドレイアウトを作成することにより、ユーザーの情報をハイジャックする場合. 組み込みのアルゴリズムは、水平方向と垂直方向の両方で機能します. レポートメソッドがまだ実装されていないため、現時点ではまだテスト段階にあるようです。.
MysteryBotAndroidトロイの木馬追加の脅威
MysteryBot Androidトロイの木馬には、メインエンジンの一部である他のいくつかのモジュールが含まれています. 主なものの1つは 組み込みのランサムウェア と呼ばれる Mystery_L0cker. デスクトップ版と同様に、犯罪者は機密性の高いユーザーデータを対象としたファイル暗号化操作を有効にできます。. これは、次の手順で構成される事前設定された動作に従います:
- ウイルスエンジンは、ターゲットファイルタイプ拡張子の組み込みリストに従って、ローカルシステムをスキャンしてファイルを探します。.
- 各ファイルは個別のZIPアーカイブファイルに配置されます.
- パスワードは、複雑なアルゴリズムを使用して実行時にエンジンによって生成されます.
暗号化プロセスが完了すると、通知メッセージが作成され、被害者に提示されます. 彼らは、ポルノ素材を見ているというメッセージを彼らに示すことによって、オペレーターによって脅迫されます. メッセージによると、被害者はハッカーに電子メールを送信することでデバイスを復元できると脅迫されています.
MysteryBot Androidトロイの木馬のインストールされたインスタンスは、 ハッカー制御サーバー 特定の銀行アプリケーションをオーバーレイする方法の説明にアクセスするため. これは、ユーザーがトロイの木馬自体にクレデンシャルを入力していることをユーザーに騙すために行われます。. ターゲットアプリの一部リストには、以下のインスタンスが含まれています:
Easybank, VolksbankBanking, バンクウェスト, INGAustraliaBanking, NABMobileBanking, SuncorpBank, INGDirectFrance,
RaiffeisenSmartMobile, AkbankDirekt, アンザオーストラリア, AOL-ニュースメール & ビデオ, AxisMobile-FundTransfer,UPI,充電する&支払い,
BankAustriaMobileBanking, BankinterMóvil, BBVAスペイン, BBVANetcash PT, BendigoBank, BoursoramaBanque, バンク, ChaseMobile,
CIBCMobileBanking®, CIC, シティバンクオーストラリア, FifthThirdMobileBanking, クレディ・ミュチュエル, CommBank, iMobilebyICICIBank, ガムツリー:探す,
買う&売る, フェイスブック, Facebookメッセンジャー–TextandVideoChatforFree, QNBFinansbankCepŞubesi, LaBanquePostale, GarantiMobileBanking,
GetinMobile, LloydsBankMobileBanking, ハリファックス:あなたに余分なものを与えるバンキングアプリ, HSBCMobileBanking, BankofAmericaMobileBanking, RaiffeisenELBA,
CapitalOne®Mobile, CitiHandlowy, Kutxabank, MACIF-Essentielpourmoi, Microsoft Outlook, Skrill, ネッテラー, CréditduNordpourMobile, PayPal,
İşCep, Ruralvía, SBIAnywherePersonal, Skype, HDFCBankMobileBanking, Sparkasse + FinanzenimGriff, SparkasseIhremobileFiliale,
SunTrustMobile, TDカナダ, BancaMóvilLaboralKutxa, HalkbankMobil, BancolombiaAppPersonas, UnionBankMobileBanking, USAAMobile,
USBank, VakıfBankMobilBankacılık, ViberMessenger, WhatsAppメッセンジャー, YahooMail–StayOrganized, YapıKrediMobile, ZiraatMobil,
comdirectmobileApp, CommerzbankBankingApp, Consorsbank, DKB-銀行, VR-バンキング, PostbankFinanzassistent, SpardaApp,
人気, サンタンデール, バンキア, EVOBancomóvil, CaixaBank, BankPekao, PekaoBiznes24, MobileBank, HVBMobileB @ nking,
バンクポピュレール, MaBanque, MesComptes-LCLpourmobile, モバイルバンキング, BarodamPassbook, L'AppliSociétéGénérale,
SantanderMobileBanking, MesComptesBNPParibas, BankSAMobileBanking, BankofMelbourneMobileBanking, St.GeorgeMobileBanking,
WestpacMobileBanking, BZWBK24mobile, ユーロバンクモービル, TokeniPKO, mBankPL, IKO , BancaTransilvania, IDBIBankGOMobile,
BankMillennium
MysteryBotAndroidトロイの木馬感染症の着信
ウイルスは多くの機能と高度な侵入方法のためにかなりのものですが. ただし、含まれているコンポーネントの一部はまだ開発中であり、セキュリティの専門家は、将来のバージョンがさらに大きな影響を与える可能性が非常に高いと述べています.
最も顕著な例の1つは、ネットワーク接続モジュールへの新しい機能の追加です。. 高度なバージョンのモバイルトロイの木馬は、被害者をリアルタイムでスパイする機能を追加することもできます, また、ユーザーを個人的に識別できるデータを収集します. これは、名前を公開できる文字列を検索することで可能になります, 住所, 位置, 興味, 電話番号, パスワードとアカウントの資格情報.
MysteryBot Androidトロイの木馬の別の可能な開発は、 監視 成分. これにより、ハッカーのオペレーターはいつでもデバイスの所有者をスパイし、それらの制御を引き継ぐことができます。.
感染が世界中のターゲットにプッシュされ続けると、パッチが適用されたバージョンが表示される可能性があります. すべてのAndroidユーザーは、細心の注意を払うことをお勧めします.