Everpedia, Wikimedia Commons
Zatiaľ čo mobilné zariadenia so systémom Android používajú zabezpečenú uzamknutú verziu jadra systému Linux, odborníci na bezpečnosť teraz našli iného trójskeho koňa, ktorý ovplyvňuje všeobecne obľúbený operačný systém. Zdá sa, že ho odborníci nazývajú MysteryBot a pracujú s programom ThreatFabric. Zdá sa, že útočí na zariadenia so systémom Android 7 a 8.
V niektorých ohľadoch je MysteryBot veľmi podobný predchádzajúcemu škodlivému softvéru LokiBot. Vedci spoločnosti ThreatFabric analyzovali kód oboch trójskych koní a zistili, že existuje viac ako pravdepodobné prepojenie medzi tvorcami oboch. Zašli tak ďaleko, že povedali, že MysteryBot je založený na kóde LokiBot.
Dokonca odosiela údaje na ten istý server C&C, ktorý sa kedysi používal v kampani LokiBot, čo naznačuje, že ich vyvinuli a nasadili rovnaké organizácie.
Ak je to skutočne tak, mohlo by to súvisieť so skutočnosťou, že pred niekoľkými mesiacmi na web unikol zdrojový kód spoločnosti LokiBot. To pomohlo bezpečnostným expertom, ktorí pre to boli schopní vyvinúť určité zmiernenia.
MysteryBot má niekoľko vlastností, vďaka ktorým skutočne vyniká od iných typov malvérového bankovníctva Android. Môže napríklad spoľahlivo zobrazovať prekrývacie obrazovky, ktoré napodobňujú prihlasovacie stránky legitímnych aplikácií. Inžinieri spoločnosti Google vyvinuli bezpečnostné funkcie, ktoré zabránili malvéru v konzistentnom zobrazovaní prekryvných obrazoviek na zariadeniach s Androidom 7 a 8.
Výsledkom bolo, že iné infekcie malvérom v bankovníctve ukázali prekrývacie obrazovky v nepárnych časoch, pretože nemohli zistiť, kedy sa používatelia pozerajú na aplikácie na ich obrazovke. MysteryBot zneužíva povolenie Usage Access, ktoré je zvyčajne určené na zobrazovanie štatistík o aplikácii. Nepriamo z neho unikajú podrobnosti o tom, ktorá aplikácia sa momentálne zobrazuje na prednej strane rozhrania.
Nie je jasné, aký vplyv má MysteryBot na zariadenia Lollipop a Marshmallow, čo by malo v najbližších týždňoch umožniť zaujímavý výskum, pretože tieto zariadenia nemusia nevyhnutne obsahovať všetky tieto bezpečnostné aktualizácie.
Vďaka zacieleniu na viac ako 100 populárnych aplikácií, vrátane mnohých aplikácií mimo sveta mobilného elektronického bankovníctva, bude môcť MysteryBot zhromaždiť prihlasovacie údaje aj od ohrozených používateľov, ktorí svoje smartphony až tak nepoužívajú. Zdá sa však, že nie je v súčasnom obehu.
Okrem toho vždy, keď používatelia stlačia kláves na dotykovej klávesnici, MysteryBot zaznamená polohu dotykového gesta a potom sa podľa odhadov pokúsi triangulovať pozíciu virtuálneho klávesu, ktorý zadali.
Aj keď je to svetelné roky pred predchádzajúcimi keyloggermi pre Android založenými na snímkach obrazovky, bezpečnostní experti už teraz tvrdo pracujú na vývoji zmierňovania.
Značky Zabezpečenie systému Android
