MisteryBot: bankarski trojanac, keylogger i ransomware u jednom malveru

Opisi virusa, 15.06.2018, 11:00 AM

MisteryBot: bankarski trojanac, keylogger i ransomware u jednom malveru

Sajber kriminalci razvijaju novi malver nazvan MisteryBot koji cilja Android uređaje i koji objedinjuje funkcije bankarskog trojanca, keyloggera i mobilnog ransomwarea.

Istraživači iz firme ThreatFabric koji su otkrili ovaj malver kažu da je MisteryBot povezan sa poznatim i veoma popularnim bankarskim trojancem za Android LokiBot.

"Na osnovu naše analize koda oba trojanca, verujemo da postoji stvarna veza između tvoraca LokiBota i MisteryBota", kažu istraživači koji smatraju da je kod MisteryBota zasnovan na kodu LokiBota.

Štaviše, MisteryBot šalje podatke istom komandno-kontrolnom serveru (C&C) koji se koristio u prošloj kampanji LokiBota, što jasno ukazuje na to da ih iste osobe ili grupa kontrolišu i razvijaju.

Razlozi zbog kojih grupa koja stoji iza LokiBota sada razvija MisteryBot nisu poznati, ali mogu biti povezani sa činjenicom da je izvorni kod LokiBota procureo na internetu pre nekoliko meseci.

Nekoliko grupa iskoristilo je kod LokiBota i sada ga koriste, a autori LokiBota možda pokušavaju da razviju novi malver koju mogu prodavati na forumima podzemlja kao što su to uradili sa LokiBotom.

"Po našem saznanju, MisteryBot se trenutno ne reklamira na forumima podzemlja, verovatno zbog činjenice da je još uvijek u razvoju", kažu istraživači.

Takođe se čini da autori MisteryBota rade na stvaranju nečeg novog i vrednog da drugi kriminalci izdvoje novac za to.

Istraživači kažu da je MisteryBot jedinstven na mnogo načina u poređenju sa LokiBotom, ali i sa drugim malverima za Android.

MisteryBot je prvi bankarski malver koji može da prikaže ekran preko ekrana na Androidu 7 i Androidu 8. Bankarski malver koristi ove ekrane da prikaže lažne stranice za prijavljivanje iznad legitimnim aplikacijama. Zbog sigurnosnih funkcija koje su Googleovi inženjeri dodali u Android 7 i 8, nijedan malver nije mogao prikazivati takve ekrane na ovim verzijama operativnog sistema na dosledan način. Problem je bio što su prethodni malveri pokazivali ekrane za preklapanje u pogrešnom trenutku jer nisu mogli da detektuju kada korisnik pregleda aplikaciju i pogrešno izračunavali vreme kada bi trebalo da prikažu ekran, odajući svoje prisustvo zahtevom da se korisnik prijavi u pogrešno vreme.

Čini se da je grupa koja stoji iza MisteryBot pronašla pouzdan način do otkrije kada treba prikazati ekran za prijavljivanje, u pravom trenutku, kada korisnik otvori aplikaciju. Uradili su to zloupotrebom dozvole Android PACKAGE_USAGE_STATS (koja se često naziva Usage Access), funkcijom Android OS koja prikazuje statičke podatke o aplikaciji i indirektno daje detalje o trenutno korištenoj aplikaciji.

Trenutna verzija MisteryBota uključuje prilagođene ekrane za prekrivanje aplikacija za mobilni e-banking (iz Australije, Austrije, Nemačke, Španije, Francuske, Hrvatske, Poljske, Rumunije) i aplikacija za razmenu poruka kao što su Facebook, WhatsApp i Viber. Malver cilja više od 100 aplikacija, a istraživači očekuju da će MisteryBot narednih nedelja povećati svoj arsenal ekrana.

Malver takođe sadrži keylogger komponentu, koja je takođe jedinstvena u poređenju sa drugim keyloggerima pronađenim na Android tržištu. Istraživači kažu da umesto da snima screenshotove u trenutku kada korisnik pritisne taster na tastaturi da bi utvrdio šta korisnik piše, MisteryBot beleži lokaciju pokreta dodira. Keylogger potom pokušava da pogodi koji je taster korisnik pritisnuo. Istraživači kažu da ova komponenta još uvek ne radi, jer trenutne verzije ne čine ništa sa zabeleženim informacijama.

Na kraju, ali ne i najmanje važno, baš kao i LokiBot, i MisteryBot sadrži i ransomware modul. Ovaj modul omogućava kriminalcima da zaključaju sve fajlove korisnika koji se čuvaju na spoljnim uređajima za skladištenje podataka. Ransomware ne šifruje fajlove, već zaključava svaki fajl u ZIP fajl zaštićen lozinkom. Istraživači kažu da je ransomware modul prilično loš kodiran. Lozinka za ZIP fajl ima samo osam znakova, što znači da vrlo lako može biti pogođena. Drugo, ova lozinka i ID zaraženog uređaja korisnika šalju se na panel za daljinsko upravljanje nazvan Mister_L0cker. Problem je u tome što ID dodeljen svakoj žrtvi može biti samo između 0 i 9999, a ne postoji verifikacija već postojećih ID-jeva kada se šalju na kontrolni panel.

Istraživači kažu da su verzije MisteryBota koje su do sada primetili istraživači maskirane u aplikaciju ili u ažuriranje za Flash Player za Android.

"Uopšte, korisnik mora biti svestan da su sve aplikacije Flash Player (update) koje se mogu naći u i izvan različitih prodavnica aplikacija malveri," kažu iz ThreatFabrica. "Mnoge web stranice još uvek zahtevaju od posetilaca podršku za Flash (koja odavno nije dostupna na Androidu), što dovodi do toga da korisnici Androida pokušavaju da pronađu aplikaciju koja će im omogućiti da koriste taj web sajt. Na kraju će samo završiti sa instaliranim malverom."

MisteryBot trenutno nije u opticaju. Njegov prethodnik, LokiBot, ranije je bio distribuiran putem SMS spama i emailova (fišing) sa linkovima za Android aplikaciju. Korisnici su instalirali zlonamernu aplikaciju i potom odobravali aplikaciji pristup Android Accessibility servisu pre nego što malver napravi bilo kakvu štetu. MisteryBot će se možda distribuirati na isti način, s obzirom na veze sa grupom LokiBot.

Stručnjaci preporučuju korisnicima da izbegavaju instaliranje aplikacija izvan Play prodavnice, i da izbjegavaju odobravanje pristupa Accessibility usluzi, koju u većini slučajeva uglavnom koriste malveri. Trenutno, MisteryBotu i dalje treba pristup usluzi pristupačnosti, koju koristi za svoje keylogger i ransomware komponente.

Malver koristi uslugu pristupačnosti kako bi dobio pristup funkciji PACKAGE_USAGE_STATS bez dozvole korisnika. To znači da korisnici i dalje mogu da otkriju MisteryBot pre nego što budu zaraženi kada im bude zatraženo da dozvole aplikaciji pristup usluzi pristupačnosti.

Osim toga, korisnici takođe treba da obrate pažnju na ono što preuzimaju iz Play prodavnice.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Novi trojanac BloodyStealer krade Epic Games i Steam naloge

Novi trojanac BloodyStealer krade Epic Games i Steam naloge

Novi trojanac koji se prodaje na ruskim hakerskim forumima onima koji ga kupe nudi mogućnost krađe korisničkih naloga na popularnim servisima kao ... Dalje

Opasni bankarski trojanac u Google oglasima u rezultatima pretrage

Opasni bankarski trojanac u Google oglasima u rezultatima pretrage

Ako na pretraživačima poput Googlea tražite softver TeamViewer mogli biste naleteti na linkove koji bi vas mogli odvesti do lažnih sajtova na koji... Dalje

Nova varijanta malvera AdLoad prolazi neprimećena Appleovu XProtect odbranu od malvera

Nova varijanta malvera AdLoad prolazi neprimećena Appleovu XProtect odbranu od malvera

Nova varijanta malvera AdLoad provlači se kroz Appleovu ugrađenu antivirusnu tehnologiju XProtect i inficira Mac računare u okviru više kampanja k... Dalje

Novi trojanac FatalRAT širi se preko Telegrama

Novi trojanac FatalRAT širi se preko Telegrama

Sajber kriminalci koriste Telegram kanale da bi širili novog trojanca koji im omogućava daljinski pristup inficiranim uređajima (RAT). Istraživač... Dalje

Microsoft upozorio na malver LemonDuck koji inficira i Windows i Linux

Microsoft upozorio na malver LemonDuck koji inficira i Windows i Linux

LemonDuck je prvi put otkriven u Kini 2019. godine kao botnet koji je inficirane sisteme koristio za rudarenje kriptovalute Monero. Međutim, on je u ... Dalje