Everpedia, Wikimedia Commons
Android-mobiililaitteiden virtalukko on suojattu lukittu Linux-ytimen versio, mutta turvallisuusasiantuntijat ovat nyt löytäneet toisen troijalaisen, joka vaikuttaa laajasti suosittuun käyttöjärjestelmään. ThreatFabricin kanssa työskentelevät asiantuntijat kutsuvat sitä MysteryBotiksi, ja se näyttää hyökkäävän laitteita, joissa on Android 7 ja 8.
Joillakin tavoin MysteryBot on paljon kuin aikaisempi LokiBot-haittaohjelma. ThreatFabricin tutkijat analysoivat molempien troijalaisten koodin ja havaitsivat, että molempien tekijöiden välillä on enemmän kuin todennäköistä yhteyttä. He menivät niin pitkälle, että MysteryBot perustuu LokiBotin koodiin.
Se lähettää jopa tietoja samalle C&C -palvelimelle, jota käytettiin kerran LokiBot-kampanjassa, mikä vihjaisi, että samat organisaatiot ovat kehittäneet ja ottaneet ne käyttöön.
Jos näin on, niin se voi liittyä siihen, että LokiBotin lähdekoodi vuotaa verkkoon muutama kuukausi sitten. Tämä auttoi turvallisuusasiantuntijoita, jotka pystyivät kehittämään sille joitain lieventimiä.
MysteryBotilla on muutama ominaisuus, jotka todella erottavat sen muista Android-pankkityypin haittaohjelmista. Se voi esimerkiksi näyttää luotettavasti peittokuvia, jotka jäljittelevät laillisten sovellusten kirjautumissivuja. Googlen insinöörit kehittivät tietoturvaominaisuuksia, jotka estivät haittaohjelmia näyttämästä päällekkäisiä näyttöjä Android 7- ja 8-laitteilla johdonmukaisella tavalla.
Tämän seurauksena muut pankki-haittaohjelmatartunnat näyttivät peittokuvaruutuja parittomina aikoina, koska he eivät voineet kertoa, milloin käyttäjät katsoivat sovelluksia ruudullaan. MysteryBot käyttää väärin käyttöoikeuksia, jotka on yleensä suunniteltu näyttämään sovelluksen tilastoja. Se vuotaa epäsuorasti tietoja siitä, mitä sovellusta näytetään parhaillaan käyttöliittymän edessä.
On epäselvää, mikä vaikutus MysteryBotilla on Lollipop- ja Marshmallow-laitteisiin, joiden pitäisi tehdä mielenkiintoisia tutkimuksia lähiviikkoina, koska näillä laitteilla ei välttämättä ole kaikkia näitä tietoturvapäivityksiä.
Kohdistamalla yli sadalle suositulle sovellukselle, mukaan lukien monet mobiilipankkimaailman ulkopuolella, MysteryBot voisi pystyä hakemaan kirjautumistiedot jopa vaarantuneilta käyttäjiltä, jotka eivät todellakaan käytä älypuhelimiaan niin paljon. Se ei kuitenkaan näytä olevan nykyisessä liikkeessä.
Lisäksi aina, kun käyttäjät painavat kosketusnäppäimistön näppäintä, MysteryBot tallentaa kosketuseleen sijainnin ja yrittää sitten kolmiomaisesti kirjoittamansa virtuaalisen avaimen sijainnin arvausten perusteella.
Vaikka tämä on valovuosia edellisiä kuvakaappaukseen perustuvia Android-näppäinlukijoita, turvallisuusasiantuntijat ovat jo kovasti töissä lieventämisen kehittämisessä.
Tunnisteet Android-suojaus
