MysteryBot Android Trojan Gespot in Worldwide Attack Campaign
CYBER NEWS

Android-gebruikers Beware: MysteryBot Trojan kunt coderen Uw bestanden

image MysteryBot Android Trojan image sensorstechforum com

Beveiliging onderzoekers hebben nog een gevaarlijke bedreiging die wordt gericht op mobiele gebruikers gespot. De MysteryBot Android Trojan is de laatste offensief tactiek tegen mobiele apparaten als het wordt gelanceerd op een wereldwijde schaal. Het is beoordeeld als een kritische bedreiging te wijten aan het feit dat het kan heeft geleid tot gevaarlijke systeemwijzigingen, velen van hen met betrekking tot de veiligheid en privacy van de eigenaren apparaat.

MysteryBot Android Trojan Revealed: Werkwijzen voor infectie

De MysteryBot Android Trojan werd ontdekt naar aanleiding van een recent onderzoek van een kwaadaardige druppelaar die in eerste instantie werd gebruikt om doelen met het infecteren GandCrab ransomware. Blijkbaar is de droppers maakten deel uit van een botnet netwerk dat kan worden aangepast aan een breed scala van computer bedreigingen te leveren - zowel de desktop-virussen, ransomware, Trojaanse paarden en mobiele malware. Het onderzoek toont aan dat het wordt gebruikt door criminele groepen die bekend zijn bij alle soorten bedreigingen gebruiken om hun beoogde slachtoffers.

De uitgevoerde analyse blijkt dat dezelfde hacker-gecontroleerde servers die stroom MysteryBot verantwoordelijk zijn voor de LokiBot banking Trojan. Dit feit kan betekenen dat het wordt bediend door dezelfde criminele collectieve.

Botnets meestal het verzenden van bulk e-SPAM-berichten dat het gebruik van verschillende social engineering tactieken die proberen om de slachtoffers te dwingen tot interactie met de gevaarlijke elementen. Ze zijn meestal ofwel direct vastgemaakt de berichten of hyperlinks de inhoud lichaam. Deze bijzondere e-mail SPAM golf kan tekst en afbeeldingen uit de populaire software bedrijven of diensten te gebruiken om ze te laten downloaden van de geïnfecteerde bestanden. Dit bepaalde campagne lijkt twee vervalste versies van de te leveren Adobe Flash Player.




MysteryBot Android Trojan Capabilities

Zodra de MysteryBot Android Trojan de doelapparaten heeft besmet kan meteen een van de ingebouwde opdrachten uit te voeren. De security onderzoekers zijn erin geslaagd om een ​​lijst met alle mogelijke acties te oogsten geweest:

  • CallToNumber - Roept een bepaald telefoonnummer uit het besmette apparaat.
  • Contacten - Haalt contactenlijst informatie (telefoonnummer en de naam van contacten).
  • De_Crypt - Geen code aanwezig, in ontwikkeling (waarschijnlijk decodeert de gegevens / omgekeerde ransomware).
  • ForwardCall - Forwards inkomende oproepen van het apparaat naar een ander nummer.
  • GetAlls - Verkorte voor GetAllSms, kopieert alle SMS-berichten van de inrichting.
  • Post ontvangen - Geen code aanwezig, in ontwikkeling (waarschijnlijk stelen van e-mails van de besmette apparaat).
  • Keylogg - Kopieer en bespaart toetsaanslagen uitgevoerd op de besmette apparaat.
  • ResetCallForwarding - Stopt het doorsturen van inkomende gesprekken.
  • Schermvergrendeling - Codeert alle bestanden in de externe opslag Directory en verwijdert alle contact informatie op het apparaat.
  • Send_spam - Stuurt een bepaalde SMS bericht naar elk contact in de contactlijst van de inrichting.
  • Smsmnd - Vervangt de standaard SMS-manager op het apparaat, bedoeld voor SMS interceptie.
  • startApp - Geen code aanwezig, in ontwikkeling (Waarschijnlijk maakt het mogelijk om op afstand te beginnen toepassing op het besmette apparaat).
  • USSD - Roept een USSD nummer uit de besmette apparaat.
  • dell_sms - Wist alle SMS-berichten op het apparaat.
  • verstuur sms - Stuurt een gegeven SMS bericht naar een specifiek nummer.

De analyse toont ook dat de onderliggende motor modulair van aard waardoor de hacker exploitanten dienen aangepaste opdrachten. Omdat de nieuwere versies van het Android-besturingssysteem (7 en 8) hebben vaste de hacker tactiek van het maken van overlays over-gebruiker geïnstalleerde toepassingen - mobiel bankieren oplossingen, betaaldiensten of web browsers. Dit heeft de criminele ontwikkelaars gevraagd te denken van een nieuwe oplossing die in staat is rond te gaan beschermende maatregelen van het systeem is. De nieuwe techniek misbruiken een dienst toestemming genaamd PAKKET gebruiksstatistieken die toegankelijk is via de Dienst Toegankelijkheid toestemming. Als gevolg hiervan kan inschakelen en misbruik van een andere toestemming, zonder toestemming van de gebruiker.

De uitgevoerde code analyse blijkt dat de gevangen stammen van de MysteryBot Android Trojan heeft een speciaal ontworpen keylogger bevatten. Hieruit blijkt dat de hackers een geheel nieuw virus component gecreëerd. Dit maakt het erg moeilijk te detecteren als zijn handtekening niet beschikbaar voor alle beveiligingsoplossingen kunnen zijn. In dit onderdeel wordt ook een niet-standaard aanpak kapen gegevens van de gebruiker door een rasterindeling van de sleutelposities van het toetsenbord. De ingebouwde algoritme werkt zowel horizontaal als verticaal gebruik. Op dit moment lijkt het nog steeds in een testfase zijn als een verslag methode is nog niet geïmplementeerd.

MysteryBot Android Trojan Extra Bedreigingen

De MysteryBot Android Trojan bevat verschillende andere modules die onderdeel zijn van de hoofdmotor. Een van de belangrijkste daarvan is de ingebouwde ransomware genoemd Mystery_L0cker. Net als zijn desktop equivalenten laat het de criminelen naar een bestand encryptie operatie die gevoelige gebruikersgegevens doelen mogelijk te maken. Hieruit volgt een preset gedrag dat bestaat uit de volgende stappen:

  • Het virus engine scant het lokale systeem voor de bestanden op basis van de ingebouwde lijst van gerichte bestandsextensies.
  • Elk bestand wordt geplaatst in een individueel ZIP archiefbestand.
  • Een wachtwoord is gegenereerd door de motor uitvoering met behulp van een ingewikkeld algoritme.

Wanneer de encryptie proces is voltooid een notiifcation bericht wordt gemaakt en gepresenteerd aan de slachtoffers. Ze worden gechanteerd door de exploitanten door samen met hen een bericht dat ze in de gaten gehouden pornografisch materiaal. Volgens het bericht van de slachtoffers worden gechanteerd dat ze hun apparaten kunnen herstellen door te mailen naar de hackers.

De geïnstalleerde exemplaren van de MysteryBot Android Trojan kan contact opnemen met een -Hacker gecontroleerde server om toegang te krijgen instructies over hoe je bepaalde toepassingen voor bankieren overlay. Dit wordt gedaan om de gebruikers dat ze het invoeren van hun geloofsbrieven aan de Trojan zelf voor de gek. Bij gedeeltelijke lijst van het doel apps bevat de volgende gevallen:

EASYBANK, VolksbankBanking, BankWest, INGAustraliaBanking, NABMobileBanking, SuncorpBank, INGDirectFrance,
Raiffeisen Smart Mobile, akbankdirekt, ANZAustralia, AOL-News Mail & Video, AxisMobile-FundTransfer,UPI,herladen&Betaling,
Bank Austria Mobile Banking, BankinterMóvil, BBVA Spanje, BBVANetcash PT, BendigoBank, BoursoramaBanque, Bank, ChaseMobile,
CIBCMobileBanking®, CIC, CitibankAustralia, FifthThirdMobileBanking, Crédit Mutuel, CommBank, iMobilebyICICIBank, Gumtree:Zoeken,
Kopen&Verkopen, Facebook, Facebook Messenger-TextandVideoChatforFree, QNBFinansbankCepSubesi, LaBanquePostale, GarantiMobileBanking,
GetinMobile, LloydsBankMobileBanking, Halifax:thebankingappthatgivesyouextra, HSBCMobileBanking, BankofAmericaMobileBanking, Raiffeisen Elba,
CapitalOne®Mobile, CitiHandlowy, Kutxabank, MACIF-Essentielpourmoi, Microsoft Outlook, Skrill, NETELLER, CréditduNordpourMobile, PayPal,
İşCep, Ruralvía, SBIAnywherePersonal, Skype, HDFCBankMobileBanking, Sparkasse + FinanzenimGriff, SparkasseIhremobileFiliale,
SunTrustMobile, TDCanada, BancaMóvilLaboralKutxa, halkbankmobil, BancolombiaAppPersonas, UnionBankMobileBanking, USAAMobile,
U.S.Bank, vakıfbankmobilbankacılık, ViberMessenger, WhatsApp messenger, YahooMail-StayOrganized, yapıkredimobil naar, ziraatmobil,
comdirectmobileApp, CommerzbankBankingApp, Consorsbank, DKB-Banking, VR-Banking, Postbank Finance Assistant, SpardaApp,
Populair, Santander, Bankia, EVOBancomóvil, CaixaBank, Bank Pekao, PekaoBiznes24, MobileBank, HVBMobileB @ NKing,
BanquePopulaire, MaBanque, MesComptes-LCLpourmobile, Mobiel bankieren, BarodamPassbook, de AppliSociétéGénérale,
SantanderMobileBanking, MesComptesBNPParibas, BankSAMobileBanking, BankofMelbourneMobileBanking, St.GeorgeMobileBanking,
WestpacMobileBanking, BZWBK24mobile, eurobankmobile, TokeniPKO, mBankPL, IKO , Banca Transilvania, IDBIBankGOMobile,
Bank Millennium

Verwante Story: Dardesh Android Chat App Mag bespioneren

MysteryBot Android Trojan Infecties Incoming

Hoewel het virus aanzienlijk is te wijten aan de vele functies en geavanceerde infiltratiemethoden. Maar sommige van de meegeleverde onderdelen zijn nog in ontwikkeling en de security experts zeggen dat het heel goed mogelijk dat toekomstige versies van het een nog grotere impact zal hebben.

Een van de meest prominente voorbeeld is de toevoeging van nieuwere functionaliteit aan de netwerkverbinding module. Geavanceerde versies van de mobiele Trojaanse paarden kunnen ook de mogelijkheid om te spioneren op de slachtoffers in real time toe te voegen, evenals oogst gegevens die persoonlijk kan de gebruikers te identificeren. Dit wordt mogelijk gemaakt door te zoeken naar reeksen die hun naam kan blootstellen, adres, plaats, belangen, telefoonnummer, wachtwoorden en accountgegevens.

Een andere mogelijke ontwikkeling van de MysteryBot Android Trojan is de opname van een toezicht bestanddeel. Het zou de hacker operators te bespioneren de eigenaren apparaat op een bepaald moment en ook de controle over hen.

Omdat de infecties blijven worden geduwd om doelen over de hele wereld kunnen we de gepatchte versies zien. Alle Android-gebruikers worden geadviseerd om uiterst voorzichtig te zijn.

avatar

Martin Beltov

Martin studeerde af met een graad in de uitgeverij van de universiteit van Sofia. Als een cyber security enthousiast dat hij geniet van het schrijven over de nieuwste bedreigingen en de mechanismen van inbraak.

Meer berichten - Website

Volg mij:
TjilpenGoogle Plus

Laat een bericht achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd *

Termijn is uitgeput. Laad CAPTCHA.

Delen op Facebook Aandeel
Loading ...
Delen op Twitter Gekwetter
Loading ...
Delen op Google Plus Aandeel
Loading ...
Delen op Linkedin Aandeel
Loading ...
Delen op Digg Aandeel
Deel op Reddit Aandeel
Loading ...
Delen op StumbleUpon Aandeel
Loading ...