Everpedia, Wikimedia Commons
Habang ang mga Android mobile device ay pinalakas ng isang ligtas na naka-lock na bersyon ng kernel ng Linux, ang mga eksperto sa seguridad ay nakakita na rin ng isa pang Trojan na nakakaapekto sa malawak na tanyag na operating system. Tinawag na MysteryBot ng mga dalubhasang nagtatrabaho sa ThreatFabric, tila inaatake ang mga aparato na nagpapatakbo ng Android 7 at 8.
Sa ilang mga paraan, ang MysteryBot ay katulad ng naunang LokiBot malware. Sinuri ng mga mananaliksik ng ThreatFabric ang code ng parehong Trojansand na natagpuan na mayroong higit sa malamang na isang link sa pagitan ng mga tagalikha ng pareho sa kanila. Napunta sila hanggang sa masabi na ang MysteryBot ay batay sa code ni LokiBot.
Nagpapadala pa rin ito ng data sa parehong server ng C&C na dating ginamit sa isang kampanya sa LokiBot, na magpapahiwatig na sila ay binuo at na-deploy ng parehong mga samahan.
Kung ito talaga ang kaso, kung gayon maaari itong maiugnay sa katotohanan na ang source code ni LokiBot ay na-leak sa web ilang buwan na ang nakakaraan. Tumulong ito sa mga eksperto sa seguridad na nakagawa ng kaunting pagpapagaan para dito.
Ang MysteryBot ay may ilang mga ugali na talagang makilala ito mula sa iba pang mga uri ng Android banking malware. Halimbawa, maaari itong mapagkakatiwalaang magpakita ng mga overlay na screen na gumaya sa mga pahina ng pag-login ng mga lehitimong app. Ang mga inhinyero ng Google ay bumuo ng mga tampok sa seguridad na pumipigil sa malware na magpakita ng mga overlay na screen sa mga Android 7 at 8 na aparato sa anumang magkatugma na pamamaraan.
Bilang resulta, ipinakita ng iba pang mga impeksyon sa banking malware ang mga overlay screen sa mga kakaibang oras dahil hindi nila masabi kung kailan tumitingin ang mga gumagamit sa mga app sa kanilang screen. Inabuso ng MysteryBot ang pahintulot sa Paggamit ng Pag-access na karaniwang idinisenyo upang ipakita ang mga istatistika tungkol sa isang app. Hindi tuwirang naglalabas ito ng mga detalye tungkol sa kung aling app ang kasalukuyang ipinapakita sa harap ng interface.
Hindi malinaw kung ano ang impluwensya ng MysteryBot sa mga aparatong Lollipop at Marshmallow, na dapat gawin para sa ilang mga kagiliw-giliw na pagsasaliksik sa mga darating na linggo dahil ang mga aparatong ito ay hindi kinakailangang magkaroon ng lahat ng mga update sa seguridad na ito.
Sa pamamagitan ng pag-target ng higit sa 100 tanyag na mga app, kabilang ang marami na nasa labas ng mundo ng mobile e-banking, maaaring makakuha ng MysteryBot ang mga detalye sa pag-login mula sa mga nakompromisong gumagamit na hindi talaga gaanong gumagamit ng kanilang mga smartphone. Ito ay hindi lilitaw na nasa kasalukuyang sirkulasyon, gayunpaman.
Bilang karagdagan, tuwing pinipilit ng mga gumagamit ang isang susi sa touch-based keyboard na MysteryBot ay nagtatala ng lokasyon ng kilos ng pagpindot at pagkatapos ay sinusubukan na patayanin ang posisyon ng virtual key na nai-type nila batay sa mga hula.
Habang ito ay magaan na taon nang maaga sa nakaraang mga keylogger na batay sa screenshot sa Android, ang mga eksperto sa seguridad ay masigasig na sa pagtatrabaho pagbuo ng isang pagpapagaan.
Mga tag Seguridad sa Android
