MisteryBot: bankarski trojanac, keylogger i ransomware u jednom malveru

Opisi virusa, 15.06.2018, 11:00 AM

MisteryBot: bankarski trojanac, keylogger i ransomware u jednom malveru

Sajber kriminalci razvijaju novi malver nazvan MisteryBot koji cilja Android uređaje i koji objedinjuje funkcije bankarskog trojanca, keyloggera i mobilnog ransomwarea.

Istraživači iz firme ThreatFabric koji su otkrili ovaj malver kažu da je MisteryBot povezan sa poznatim i veoma popularnim bankarskim trojancem za Android LokiBot.

"Na osnovu naše analize koda oba trojanca, verujemo da postoji stvarna veza između tvoraca LokiBota i MisteryBota", kažu istraživači koji smatraju da je kod MisteryBota zasnovan na kodu LokiBota.

Štaviše, MisteryBot šalje podatke istom komandno-kontrolnom serveru (C&C) koji se koristio u prošloj kampanji LokiBota, što jasno ukazuje na to da ih iste osobe ili grupa kontrolišu i razvijaju.

Razlozi zbog kojih grupa koja stoji iza LokiBota sada razvija MisteryBot nisu poznati, ali mogu biti povezani sa činjenicom da je izvorni kod LokiBota procureo na internetu pre nekoliko meseci.

Nekoliko grupa iskoristilo je kod LokiBota i sada ga koriste, a autori LokiBota možda pokušavaju da razviju novi malver koju mogu prodavati na forumima podzemlja kao što su to uradili sa LokiBotom.

"Po našem saznanju, MisteryBot se trenutno ne reklamira na forumima podzemlja, verovatno zbog činjenice da je još uvijek u razvoju", kažu istraživači.

Takođe se čini da autori MisteryBota rade na stvaranju nečeg novog i vrednog da drugi kriminalci izdvoje novac za to.

Istraživači kažu da je MisteryBot jedinstven na mnogo načina u poređenju sa LokiBotom, ali i sa drugim malverima za Android.

MisteryBot je prvi bankarski malver koji može da prikaže ekran preko ekrana na Androidu 7 i Androidu 8. Bankarski malver koristi ove ekrane da prikaže lažne stranice za prijavljivanje iznad legitimnim aplikacijama. Zbog sigurnosnih funkcija koje su Googleovi inženjeri dodali u Android 7 i 8, nijedan malver nije mogao prikazivati takve ekrane na ovim verzijama operativnog sistema na dosledan način. Problem je bio što su prethodni malveri pokazivali ekrane za preklapanje u pogrešnom trenutku jer nisu mogli da detektuju kada korisnik pregleda aplikaciju i pogrešno izračunavali vreme kada bi trebalo da prikažu ekran, odajući svoje prisustvo zahtevom da se korisnik prijavi u pogrešno vreme.

Čini se da je grupa koja stoji iza MisteryBot pronašla pouzdan način do otkrije kada treba prikazati ekran za prijavljivanje, u pravom trenutku, kada korisnik otvori aplikaciju. Uradili su to zloupotrebom dozvole Android PACKAGE_USAGE_STATS (koja se često naziva Usage Access), funkcijom Android OS koja prikazuje statičke podatke o aplikaciji i indirektno daje detalje o trenutno korištenoj aplikaciji.

Trenutna verzija MisteryBota uključuje prilagođene ekrane za prekrivanje aplikacija za mobilni e-banking (iz Australije, Austrije, Nemačke, Španije, Francuske, Hrvatske, Poljske, Rumunije) i aplikacija za razmenu poruka kao što su Facebook, WhatsApp i Viber. Malver cilja više od 100 aplikacija, a istraživači očekuju da će MisteryBot narednih nedelja povećati svoj arsenal ekrana.

Malver takođe sadrži keylogger komponentu, koja je takođe jedinstvena u poređenju sa drugim keyloggerima pronađenim na Android tržištu. Istraživači kažu da umesto da snima screenshotove u trenutku kada korisnik pritisne taster na tastaturi da bi utvrdio šta korisnik piše, MisteryBot beleži lokaciju pokreta dodira. Keylogger potom pokušava da pogodi koji je taster korisnik pritisnuo. Istraživači kažu da ova komponenta još uvek ne radi, jer trenutne verzije ne čine ništa sa zabeleženim informacijama.

Na kraju, ali ne i najmanje važno, baš kao i LokiBot, i MisteryBot sadrži i ransomware modul. Ovaj modul omogućava kriminalcima da zaključaju sve fajlove korisnika koji se čuvaju na spoljnim uređajima za skladištenje podataka. Ransomware ne šifruje fajlove, već zaključava svaki fajl u ZIP fajl zaštićen lozinkom. Istraživači kažu da je ransomware modul prilično loš kodiran. Lozinka za ZIP fajl ima samo osam znakova, što znači da vrlo lako može biti pogođena. Drugo, ova lozinka i ID zaraženog uređaja korisnika šalju se na panel za daljinsko upravljanje nazvan Mister_L0cker. Problem je u tome što ID dodeljen svakoj žrtvi može biti samo između 0 i 9999, a ne postoji verifikacija već postojećih ID-jeva kada se šalju na kontrolni panel.

Istraživači kažu da su verzije MisteryBota koje su do sada primetili istraživači maskirane u aplikaciju ili u ažuriranje za Flash Player za Android.

"Uopšte, korisnik mora biti svestan da su sve aplikacije Flash Player (update) koje se mogu naći u i izvan različitih prodavnica aplikacija malveri," kažu iz ThreatFabrica. "Mnoge web stranice još uvek zahtevaju od posetilaca podršku za Flash (koja odavno nije dostupna na Androidu), što dovodi do toga da korisnici Androida pokušavaju da pronađu aplikaciju koja će im omogućiti da koriste taj web sajt. Na kraju će samo završiti sa instaliranim malverom."

MisteryBot trenutno nije u opticaju. Njegov prethodnik, LokiBot, ranije je bio distribuiran putem SMS spama i emailova (fišing) sa linkovima za Android aplikaciju. Korisnici su instalirali zlonamernu aplikaciju i potom odobravali aplikaciji pristup Android Accessibility servisu pre nego što malver napravi bilo kakvu štetu. MisteryBot će se možda distribuirati na isti način, s obzirom na veze sa grupom LokiBot.

Stručnjaci preporučuju korisnicima da izbegavaju instaliranje aplikacija izvan Play prodavnice, i da izbjegavaju odobravanje pristupa Accessibility usluzi, koju u većini slučajeva uglavnom koriste malveri. Trenutno, MisteryBotu i dalje treba pristup usluzi pristupačnosti, koju koristi za svoje keylogger i ransomware komponente.

Malver koristi uslugu pristupačnosti kako bi dobio pristup funkciji PACKAGE_USAGE_STATS bez dozvole korisnika. To znači da korisnici i dalje mogu da otkriju MisteryBot pre nego što budu zaraženi kada im bude zatraženo da dozvole aplikaciji pristup usluzi pristupačnosti.

Osim toga, korisnici takođe treba da obrate pažnju na ono što preuzimaju iz Play prodavnice.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Novi malver ruskih hakera LOSTKEYS je digitalna verzija špijuna

Novi malver ruskih hakera LOSTKEYS je digitalna verzija špijuna

Google-ova obaveštajna grupa za pretnje (GTIG) identifikovala je novi malver pod nazivom LOSTKEYS, dizajniran za krađu fajlova i sistemskih podataka... Dalje

Novi, opasni trojanac koji krade lozinke širi se preko YouTube-a

Novi, opasni trojanac koji krade lozinke širi se preko YouTube-a

Istraživači bezbednosti iz CYFIRMA otkrili su novi malver nazvan Neptun RAT koji inficira Windows uređaje i krade lozinke. Malver koga bezbednosni ... Dalje

Novi malver koji krade lozinke širi se preko YouTube-a

Novi malver koji krade lozinke širi se preko YouTube-a

Novootkriveni malver za krađu informacija pod nazivom Arcane Stealer krade mnoštvo korisničkih podataka, uključujući podatke za prijavljivanje z... Dalje

Novi malver MassJacker krije se u piratskom softveru

Novi malver MassJacker krije se u piratskom softveru

Korisnici koji traže piratski softver mete su napada koji rezultiraju infekcijom novim malverom pod nazivom MassJacker. Prema nalazima kompanije Cybe... Dalje

Hakeri koriste Google Docs i Steam za kontrolu malvera koji kradu lozinke

Hakeri koriste Google Docs i Steam za kontrolu malvera koji kradu lozinke

Google Docs i druge pouzdane platforme se koriste za skrivenu kontrolu malvera koji kradu, lozinke, logove ćaskanja i osetljive podatke (infostealer... Dalje