Эверпедия, Wikimedia Commons
В то время как мобильные устройства Android работают на защищенной заблокированной версии ядра Linux, эксперты по безопасности теперь обнаружили еще одного трояна, поражающего широко популярную операционную систему. Названный экспертами, работающими с ThreatFabric, MysteryBot, похоже, атакует устройства под управлением Android 7 и 8.
В некотором смысле MysteryBot очень похож на более раннюю вредоносную программу LokiBot. Исследователи ThreatFabric проанализировали код обоих троянцев и обнаружили, что между создателями обоих троянцев более чем вероятно существует связь. Они зашли так далеко, что заявили, что MysteryBot основан на коде LokiBot.
Он даже отправляет данные на тот же C&C сервер, который когда-то использовался в кампании LokiBot, из чего следует, что они были разработаны и развернуты одними и теми же организациями.
Если это действительно так, то это может быть связано с тем, что исходный код LokiBot просочился в Интернет несколько месяцев назад. Это помогло экспертам по безопасности, которые смогли разработать некоторые меры по его устранению.
MysteryBot имеет несколько особенностей, которые действительно выделяют его среди других типов вредоносных программ для банковских операций для Android. Например, он может надежно отображать оверлейные экраны, имитирующие страницы входа в систему законных приложений. Инженеры Google разработали функции безопасности, которые не позволяют вредоносным программам постоянно отображать наложения на устройствах Android 7 и 8.
В результате другие заражения банковским вредоносным ПО показывали наложения на экранах в нечетное время, поскольку они не могли определить, когда пользователи смотрят приложения на своем экране. MysteryBot злоупотребляет разрешением доступа к использованию, которое обычно предназначено для отображения статистики о приложении. Он косвенно передает сведения о том, какое приложение в настоящее время отображается на передней панели интерфейса.
Неясно, какое влияние MysteryBot имеет на устройства Lollipop и Marshmallow, поэтому в ближайшие недели следует провести некоторые интересные исследования, поскольку на этих устройствах не обязательно есть все эти обновления безопасности.
Ориентируясь на более 100 популярных приложений, в том числе многие из них, не относящиеся к сфере мобильного электронного банкинга, MysteryBot может получить данные для входа даже у скомпрометированных пользователей, которые на самом деле не так часто используют свои смартфоны. Однако, похоже, в текущем обращении его нет.
Кроме того, всякий раз, когда пользователи нажимают клавишу на сенсорной клавиатуре, MysteryBot записывает местоположение сенсорного жеста, а затем пытается триангулировать положение виртуальной клавиши, которую они напечатали, на основе предположений.
Хотя это на световые годы опережает предыдущие кейлоггеры Android на основе снимков экрана, эксперты по безопасности уже усердно работают над разработкой смягчения.
Теги Безопасность Android
