Bezbjednosni istraživači iz kompanije ThreatFabric otkrili su novi malware za uređaje temeljene na Android platformi. Riječ je o bankarskom trojancu MisteryBot koji ima i dodatne sposobnosti da djeluje poput keyloggera te mobilnog ransomwarea.
MisteryBot je naprednija verzija prošlogodišnjeg LokiBota koji je takođe ciljao na bankarske aplikacije na Android uređajima. Istraživači su otkrili kako MisteryBot koristi iste komandno-kontrolne servere (C&C) koje je koristio i LokiBot.
Dalje, MisteryBot je prvi bankarski malware za Android uređaj koji može prikazati sopstveni ekran preko cijelog ekrana na uređajima temeljim na Androidu 7 i 8. To je moguće iz razloga što su "developeri" trojanca uspeli da ovladaju funkcijom PACKAGE_USAGE_STATS. Ovu funkciju MisteryBot koristi kako bi prikazao lažne stranice za prijavu na inače legitimne stranice.
Za sada je MisteryBot pokrio više od 100 različitih aplikacija što vezano uz mobilno bankarstvo, što za društvene aplikacije poput Facebook-a, Viber-a i WhatsApp-a. Na popisu se nalaze i aplikacije Yahoo Mail-a, Microsoft-ovog Outlooka, PayPal-a i dr. Popis trenutno poznatih aplikacija na koje cilja MisteryBot možete provjeriti ovde. Budući da se malware još uvijek nalazi u razvoju popis pogođenih aplikacija nije potpun te je za očekivati kako će u skorijoj budućnosti biti proširen.
Iako se MisteryBot vodi kao bankarski trojanac, on može i znatno više. Naime, može upravljati pozivima, kontaktima, porukama i mailovima na zaraženom uređaju. Tako da ako ne uspje da sazna bankarske podatke korisnika još uvjek može da ošteti zvanjem skupih telefonskih brojeva ili slanjem SMS poruka na brojeve sa takođe skupim tarifama.
Inače, za zarazu mobilnih uređaja sa Android-om developeri trojanca su izabrali apk datoteku naziva Adobe Flash Player. Takođe MisteryBot može biti ponuđen i u vidu "nadogradnje" Adobe Flash Player-a.
MisteryBot zna da šalje i SMS poruke, poziva i preusmjerava telefonske brojeve i još štošta drugo...
Kako smo naveli na početku osim što MisteryBot cilja na aplikacije za mobilno bankarstvo opremljen je i naprednijim mogućnostima – keyloggera i ransomwarea. Kada djeluje kao keylogger, Misterybot ne snima snimke ekrana već prati redosled dodira po ekranu i pokušava da pogodi koju je tipku korisnik dodirnuo. Budući da je MisteryBot još uvek u fazi razvoja, ovaj modul je za sada beskoristan.
Isto vrijedi i za modul koji bi trebao da "otme" korisnikove podatke. Modul ih ne kriptuje, već svaku datoteku zaključava unutar ZIP datoteke koju zaštićuje lozinkom dužine osam znakova. Uz malo snažniji računar ista se stoga može i lako otkriti upotrebom nekog od softvera za otkrivanje lozinki Brute Force metodom.
Preuzeto: www.itvesti.info