MisteryBot: bankarski trojanac, keylogger i ransomware u jednom malveru

Opisi virusa, 15.06.2018, 11:00 AM

MisteryBot: bankarski trojanac, keylogger i ransomware u jednom malveru

Sajber kriminalci razvijaju novi malver nazvan MisteryBot koji cilja Android uređaje i koji objedinjuje funkcije bankarskog trojanca, keyloggera i mobilnog ransomwarea.

Istraživači iz firme ThreatFabric koji su otkrili ovaj malver kažu da je MisteryBot povezan sa poznatim i veoma popularnim bankarskim trojancem za Android LokiBot.

"Na osnovu naše analize koda oba trojanca, verujemo da postoji stvarna veza između tvoraca LokiBota i MisteryBota", kažu istraživači koji smatraju da je kod MisteryBota zasnovan na kodu LokiBota.

Štaviše, MisteryBot šalje podatke istom komandno-kontrolnom serveru (C&C) koji se koristio u prošloj kampanji LokiBota, što jasno ukazuje na to da ih iste osobe ili grupa kontrolišu i razvijaju.

Razlozi zbog kojih grupa koja stoji iza LokiBota sada razvija MisteryBot nisu poznati, ali mogu biti povezani sa činjenicom da je izvorni kod LokiBota procureo na internetu pre nekoliko meseci.

Nekoliko grupa iskoristilo je kod LokiBota i sada ga koriste, a autori LokiBota možda pokušavaju da razviju novi malver koju mogu prodavati na forumima podzemlja kao što su to uradili sa LokiBotom.

"Po našem saznanju, MisteryBot se trenutno ne reklamira na forumima podzemlja, verovatno zbog činjenice da je još uvijek u razvoju", kažu istraživači.

Takođe se čini da autori MisteryBota rade na stvaranju nečeg novog i vrednog da drugi kriminalci izdvoje novac za to.

Istraživači kažu da je MisteryBot jedinstven na mnogo načina u poređenju sa LokiBotom, ali i sa drugim malverima za Android.

MisteryBot je prvi bankarski malver koji može da prikaže ekran preko ekrana na Androidu 7 i Androidu 8. Bankarski malver koristi ove ekrane da prikaže lažne stranice za prijavljivanje iznad legitimnim aplikacijama. Zbog sigurnosnih funkcija koje su Googleovi inženjeri dodali u Android 7 i 8, nijedan malver nije mogao prikazivati takve ekrane na ovim verzijama operativnog sistema na dosledan način. Problem je bio što su prethodni malveri pokazivali ekrane za preklapanje u pogrešnom trenutku jer nisu mogli da detektuju kada korisnik pregleda aplikaciju i pogrešno izračunavali vreme kada bi trebalo da prikažu ekran, odajući svoje prisustvo zahtevom da se korisnik prijavi u pogrešno vreme.

Čini se da je grupa koja stoji iza MisteryBot pronašla pouzdan način do otkrije kada treba prikazati ekran za prijavljivanje, u pravom trenutku, kada korisnik otvori aplikaciju. Uradili su to zloupotrebom dozvole Android PACKAGE_USAGE_STATS (koja se često naziva Usage Access), funkcijom Android OS koja prikazuje statičke podatke o aplikaciji i indirektno daje detalje o trenutno korištenoj aplikaciji.

Trenutna verzija MisteryBota uključuje prilagođene ekrane za prekrivanje aplikacija za mobilni e-banking (iz Australije, Austrije, Nemačke, Španije, Francuske, Hrvatske, Poljske, Rumunije) i aplikacija za razmenu poruka kao što su Facebook, WhatsApp i Viber. Malver cilja više od 100 aplikacija, a istraživači očekuju da će MisteryBot narednih nedelja povećati svoj arsenal ekrana.

Malver takođe sadrži keylogger komponentu, koja je takođe jedinstvena u poređenju sa drugim keyloggerima pronađenim na Android tržištu. Istraživači kažu da umesto da snima screenshotove u trenutku kada korisnik pritisne taster na tastaturi da bi utvrdio šta korisnik piše, MisteryBot beleži lokaciju pokreta dodira. Keylogger potom pokušava da pogodi koji je taster korisnik pritisnuo. Istraživači kažu da ova komponenta još uvek ne radi, jer trenutne verzije ne čine ništa sa zabeleženim informacijama.

Na kraju, ali ne i najmanje važno, baš kao i LokiBot, i MisteryBot sadrži i ransomware modul. Ovaj modul omogućava kriminalcima da zaključaju sve fajlove korisnika koji se čuvaju na spoljnim uređajima za skladištenje podataka. Ransomware ne šifruje fajlove, već zaključava svaki fajl u ZIP fajl zaštićen lozinkom. Istraživači kažu da je ransomware modul prilično loš kodiran. Lozinka za ZIP fajl ima samo osam znakova, što znači da vrlo lako može biti pogođena. Drugo, ova lozinka i ID zaraženog uređaja korisnika šalju se na panel za daljinsko upravljanje nazvan Mister_L0cker. Problem je u tome što ID dodeljen svakoj žrtvi može biti samo između 0 i 9999, a ne postoji verifikacija već postojećih ID-jeva kada se šalju na kontrolni panel.

Istraživači kažu da su verzije MisteryBota koje su do sada primetili istraživači maskirane u aplikaciju ili u ažuriranje za Flash Player za Android.

"Uopšte, korisnik mora biti svestan da su sve aplikacije Flash Player (update) koje se mogu naći u i izvan različitih prodavnica aplikacija malveri," kažu iz ThreatFabrica. "Mnoge web stranice još uvek zahtevaju od posetilaca podršku za Flash (koja odavno nije dostupna na Androidu), što dovodi do toga da korisnici Androida pokušavaju da pronađu aplikaciju koja će im omogućiti da koriste taj web sajt. Na kraju će samo završiti sa instaliranim malverom."

MisteryBot trenutno nije u opticaju. Njegov prethodnik, LokiBot, ranije je bio distribuiran putem SMS spama i emailova (fišing) sa linkovima za Android aplikaciju. Korisnici su instalirali zlonamernu aplikaciju i potom odobravali aplikaciji pristup Android Accessibility servisu pre nego što malver napravi bilo kakvu štetu. MisteryBot će se možda distribuirati na isti način, s obzirom na veze sa grupom LokiBot.

Stručnjaci preporučuju korisnicima da izbegavaju instaliranje aplikacija izvan Play prodavnice, i da izbjegavaju odobravanje pristupa Accessibility usluzi, koju u većini slučajeva uglavnom koriste malveri. Trenutno, MisteryBotu i dalje treba pristup usluzi pristupačnosti, koju koristi za svoje keylogger i ransomware komponente.

Malver koristi uslugu pristupačnosti kako bi dobio pristup funkciji PACKAGE_USAGE_STATS bez dozvole korisnika. To znači da korisnici i dalje mogu da otkriju MisteryBot pre nego što budu zaraženi kada im bude zatraženo da dozvole aplikaciji pristup usluzi pristupačnosti.

Osim toga, korisnici takođe treba da obrate pažnju na ono što preuzimaju iz Play prodavnice.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Kako je malver Inferno Drainer ukrao više od 80 miliona dolara od 136.000 korisnika kriptovaluta

Kako je malver Inferno Drainer ukrao više od 80 miliona dolara od 136.000 korisnika kriptovaluta

Kao što privlači milione ljudi širom sveta, tako svet kriptovaluta privlači i sajber kriminalce koji pokušavaju da iskoriste neiskustvo i neznanj... Dalje

Hakeri koriste grešku u Windows SmartScreen da prevare korisnike da preuzmu malver

Hakeri koriste grešku u Windows SmartScreen da prevare korisnike da preuzmu malver

Phemedrone je novi malver za krađu informacija koji inficira računare koristeći ranjivost Microsoft Defender SmartScreena (CVE-2023-36025). Phemedr... Dalje

Nova varijanta zloglasnog Mirai botneta širi malver za rudarenje kriptovaluta

Nova varijanta zloglasnog Mirai botneta širi malver za rudarenje kriptovaluta

Istraživači sajber bezbednosti iz kompanije Akamai otkrili su novu verziju čuvenog botneta Mirai pod nazivom NoaBot, koja se koristi za distribucij... Dalje

Malver MS Drainer ukrao 59 miliona dolara preko Google oglasa i oglasa na X-u

Malver MS Drainer ukrao 59 miliona dolara preko Google oglasa i oglasa na X-u

Istraživači bezbednosti otkrili su novu seriju napada „crypto drainer” malvera koji je do sada ukrao 59 miliona dolara žrtvama koje su ... Dalje

Novi malver JaskaGO krade informacije sa macOS i Windows sistema

Novi malver JaskaGO krade informacije sa macOS i Windows sistema

Istraživači sajber bezbednosti iz AT&T Alien Labsa otkrili su novi sofisticirani malver pod nazivom JaskaGO, napravljen u programskom jeziku Go ... Dalje