Rss
Видеонаблюдение

Видеонаблюдение

    Видеонаблюдение

Монтаж ЛВС

    Монтаж ЛВС

Заправка картриджей

    Заправка картриджей

Ремонт компьютеров

    Ремонт компьютеров
Категории новостей
» » Вредонос MysteryBot сочетает в себе функции банковского трояна, кейлоггера и вымогателя
Заправка картриджей
  • Опуликовал: admin
  • |
  • Коментариев: 0
  • |
  • Просмотров: 5223
Специалисты компании ThreatFabric (ранее SfyLabs) обнаружили мобильную малварь MysteryBot, которая атакует устройства на Android 7 и 8. Новая угроза объединяет в себе функции банковского трояна, кейлоггера и вымогателя.
Исследователи сообщают, что MysteryBot определенно связан с другим вредоносом, банковским трояном LokiBot, на что указывают сходства, обнаруженные в исходном коде. Кроме того, новая малварь использует тот же управляющий сервер, уже известный специалистам по прошлым вредоносным кампаниям. Почему авторы LokiBot переключились на разработку нового вредоноса, пока неясно. Возможно, это связано с утечкой исходного кода LokiBot, произошедшей несколько месяцев тому назад. После утечки трояном стали пользоваться несколько хакерских групп.


Специалисты пишут, что MysteryBot во многом отличается от своего предшественника, а также от конкурирующих банкеров для Android (например, ExoBot 2.5, Anubis II, DiseaseBot, CryEye). Так, по данным ThreatFabric, MysteryBot — это первый банковский троян, способный корректно отображать оверлеи на Android 7 и 8.
Оверлеи давно используются вирусописателями и помогают им отображать фальшивые страницы логина или формы ввода данных поверх окон легитимных приложений. Но после релиза Android 7 и 8 у злоумышленников возникли проблемы, так как инженеры Google добавили в свою ОС новые механизмы защиты. После этого разработчикам малвари не удавалось заставить оверлеи появляться на экране зараженного устройства вовремя, так как они потеряли возможность отслеживать, когда именно жертва запускает на своем устройстве то или иное приложение.
По данным ThreatFabric, авторы MysteryBot нашли решение этой проблемы. Чтобы отображать оверлеи своевременно, они используют разрешение PACKAGE_USAGE_STATS, при помощи которого Android показывает статистику использования приложения, косвенно сливая информацию о приложении, использующемся в конкретный момент.

В текущей версии MysteryBot представлены кастомые оверлеи более чем для 100 приложений, включая ряд электронных банкингов (хакеры нацеливаются на пользователей финансовых учреждений из Австралии, Австрии, Германии, Испании, Франции, Хорватии, Польши и Румынии), а также Facebook, WhatsApp и Viber. Полный список можно найти в отчете аналитиков ThreatFabric.
Однако в MysteryBot заложена не только функциональность банковского трояна. Также малварь оснащена функцией кейлоггера, причем реализована та весьма необычно. Когда пользователь набирает текст на экранной клавиатуре, MysteryBot не делает снимки экрана для каждой буквы, но полагается на запись сенсорных жестов. Малварь записывает рисунок сенсорных жестов, сопоставляется его с экранной клавиатурой, которую использует жертва, и на основании этого делает выводы о набранном тексте.
Так MysteryBot оснащен и вымогательской функциональностью, явно унаследованной от LokiBot. Исследователи рассказывают, что малварь может блокировать пользовательские файлы, хранящиеся на внешних накопителях. При этом сами файлы вредонос не шифрует, но помещает их в отдельные архивы ZIP, каждый из которых защищен паролем.
По мнению специалистов, вымогательский модуль написан не слишком хорошо, например, длина паролей от архивов равняется всего 8 символам, то есть в теории их достаточно легко взломать. К тому же пароль и уникальный для каждой жертвы ID передаются на удаленную панель управления Myster_L0cker. Однако ID – это лишь число от 0 до 9999, причем никакой проверки уже существующих ID перед отправкой не производится. То есть пароли одних пострадавших могут быть легко перезаписаны новыми пострадавшими, как только ID синхронизируется с бэкэндом MysteryBot.

В настоящее время малварь маскируется под приложение Flash Player, невзирая на тот факт, что Flash не доступен для Android уже несколько лет. К сожалению, некоторые сайты по-прежнему требуют поддержки Flash от своих посетителей, из-за чего те пытаются найти и установить Flash на свое устройство. Как правило, это заканчивается лишь установкой малвари.шаблоны для dleскачать фильмы
Информация
Посетители, находящиеся в группе Гости, не могут оставлять комментарии к данной публикации.