MisteryBot - još jedan bankarski trojanac za Android

Pojavio se novi malware za uređaje temeljene na Android platformi – MisteryBot koji poput starijeg mu „brata“ Lokibota također cilja na bankarske aplikacije

Stjepan Bilić četvrtak, 21. lipnja 2018. u 06:00

Sigurnosni istraživači iz tvrtke ThreatFabric otkrili su novi malware za uređaje temeljene na Android platformi. Riječ je o bankarskom trojancu MisteryBot koji ima i dodatne sposobnosti da djeluje poput keyloggera te mobilnog ransomwarea.

MisteryBot je naprednija inačica prošlogodišnjeg LokiBota koji je također ciljao na bankarske aplikacije na Android uređajima. Istraživači su otkrili kako MisteryBot koristi iste komandno-kontrolne servere (C&C) koje je koristio i LokiBot.

Nadalje, MisteryBot je prvi bankarski malware za Android uređaj koji može prikazati vlastiti zaslon preko cijelog zaslona na uređajima temeljim na Androidu 7 i 8. To je moguće iz razloga što su „developeri“ trojanca uspjeli ovladati funkcijom PACKAGE_USAGE_STATS. Ovu značajku MisteryBot koristi kako bi prikazao lažne stranice za prijavu na inače legitimne stranice.

Za sada je MisteryBot pokrio više od 100 različitih aplikacija što vezano uz mobilno bankarstvo, što za društvene aplikacije poput Facebooka, Vibera i WhatsAppa. Na popisu se nalaze i aplikacije Yahoo Maila, Microsoftovog Outlooka, PayPala i dr. Popis trenutno poznatih aplikacija na koje cilja MisteryBot možete provjeriti ovdje. Budući da se malware još uvijek nalazi u razvoju popis pogođenih aplikacija nije potpun te je za očekivati kako će u skorijoj budućnosti biti proširen.

Iako se MisteryBot vodi kao bankarski trojanac, on može i znatno više. Naime, može upravljati pozivima, kontaktima, porukama i mailovima na zaraženom uređaju. Tako da ako ne uspije doznati bankarske podatke korisnika još uvijek uviješ može oštetiti zvanjem skupih telefonskih brojeva ili slanjem SMS poruka na brojeve s također skupim tarifama.

Inače, za zarazu mobilnih uređaja s Androidom developeri trojanca su izabrali apk datoteku naziva Adobe Flash Player. Također MisteryBot može biti ponuđen i u vidu „nadogradnje“ Adobe Flash Playera.

Kako smo naveli na početku osim što MisteryBot cilja na aplikacije za mobilno bankarstvo opremljen je i naprednijim mogućnostima – keyloggera i ransomwarea. Kada djeluje kao keylogger, Misterybot ne snima snimke zaslona već prati redoslijed dodira po zaslonu i pokušava pogoditi koju je tipku korisnik dodirnuo. Budući da je MisteryBot još uvijek u fazi razvoja, ovaj modul je za sada beskoristan.

Isto vrijedi i za modul koji bi trebao „oteti“ korisnikove podatke. Modul ih ne kriptira, već svaku datoteku zaključava unutar ZIP datoteke koju zaštićuje zaporkom duljine osam znakova. Uz malo snažnije računalo ista se stoga može i lako otkriti upotrebom nekog od softvera za otkrivanje zaporki Brute Force metodom.

Ipak za očekivati je da jednom kada MisteryBot bude zgotovljen da će i ova zadnja dva modula biti naprednija, a time i nezgodnija za pogođene korisnike. Kao prevenciju od zaraze Android uređaja možete iskoristi zdrav razum – preuzimajte aplikacije iz samo legitimnih izvora kao što je recimo Google Play te ne preuzimajte nikakve aplikacije koje obećavaju podršku za Adobe Flash Player ili npr. nadogradnju na noviju inačicu.