Everpedia, Wikimedia Commons
Докато мобилните устройства с Android се захранват от защитена заключена версия на ядрото на Linux, експертите по сигурността вече са намерили друг троянски код, който влияе на широко популярната операционна система. Наречен MysteryBot от експерти, работещи с ThreatFabric, изглежда атакува устройства с Android 7 и 8.
В някои отношения MysteryBot много прилича на по-ранния зловреден софтуер LokiBot. Изследователите на ThreatFabric анализираха кода на двамата троянски коне и установиха, че има повече от вероятно връзка между създателите и на двамата. Те стигнаха дотам, че казаха, че MysteryBot се основава на кода на LokiBot.
Той дори изпраща данни към същия C&C сървър, който някога е бил използван в кампания LokiBot, което би намекнало, че те са разработени и внедрени от същите организации.
Ако това наистина е така, тогава това може да е свързано с факта, че изходният код на LokiBot изтече в мрежата преди няколко месеца. Това помогна на експерти по сигурността, които успяха да разработят някои смекчаващи мерки за това.
MysteryBot има няколко черти, които наистина го отличават от другите видове зловреден софтуер за Android банкиране. Например, той може надеждно да показва екрани за наслагване, които имитират страниците за влизане на легитимни приложения. Инженерите на Google разработиха функции за защита, които предотвратяват злонамерения софтуер да показва екрани за наслагване на устройства с Android 7 и 8 по някакъв последователен начин.
В резултат на това други банкови инфекции със злонамерен софтуер показваха екраните за наслагване в странни моменти, тъй като не можеха да разберат кога потребителите гледат приложения на екрана си. MysteryBot злоупотребява с разрешението за използване на достъп, което обикновено е предназначено да показва статистически данни за приложение. Индиректно изтича подробности за това кое приложение в момента се показва в предната част на интерфейса.
Не е ясно какво влияние оказва MysteryBot върху устройствата Lollipop и Marshmallow, което трябва да направи някои интересни изследвания през следващите седмици, тъй като тези устройства не са задължително да имат всички тези актуализации на защитата.
Чрез насочване към над 100 популярни приложения, включително много, които са извън света на мобилното електронно банкиране, MysteryBot би могъл да събира данни за вход дори от компрометирани потребители, които всъщност не използват смартфоните си толкова много. Изглежда обаче не е в текущо обращение.
Освен това, всеки път, когато потребителите натиснат клавиш на базираната на докосване клавиатура, MysteryBot записва местоположението на жеста с докосване и след това се опитва да триангулира позицията на виртуалния ключ, който са въвели въз основа на предположения.
Въпреки че това е със светлинни години преди предишните базирани на екрани кейлогъри за Android, експертите по сигурността вече работят усилено, разработвайки смекчаване.
Етикети Защита на Android
