Everpedia, Wikimedia Commons
Míg az Android mobileszközöket a Linux kernel biztonságos, lezárt verziója hajtja, a biztonsági szakértők most egy újabb trójai programot találtak, amely hatással van a széles körben elterjedt operációs rendszerre. A ThreatFabric-szal dolgozó szakértők MysteryBot-nak hívják, úgy tűnik, hogy az Android 7 és 8 operációs rendszert futtató eszközöket támadja.
Bizonyos szempontból a MysteryBot nagyon hasonlít a korábbi LokiBot malware-re. A ThreatFabric kutatói elemezték mindkét trójainak kódját, és megállapították, hogy több mint valószínű kapcsolat van mindkettőjük alkotói között. Odáig mentek, hogy azt mondták, hogy a MysteryBot a LokiBot kódjára épül.
Még adatokat is küld ugyanarra a C&C szerverre, amelyet egykor a LokiBot kampányban használtak, ami azt sugallná, hogy ugyanazokat a szervezeteket fejlesztették és telepítették.
Ha ez valóban így van, akkor ez összefüggésben lehet azzal, hogy a LokiBot forráskódja néhány hónappal ezelőtt kiszivárgott az internetre. Ez segítette a biztonsági szakértőket, akik képesek voltak néhány enyhítést kidolgozni.
A MysteryBotnak van néhány olyan vonása, amelyek valóban kiemelik a többi típusú Android banki kártevő program közül. Például megbízhatóan képes megjeleníteni olyan átfedő képernyőket, amelyek utánozzák a törvényes alkalmazások bejelentkezési oldalait. A Google mérnökei olyan biztonsági funkciókat fejlesztettek ki, amelyek megakadályozták, hogy a rosszindulatú programok bármilyen következetes módon megjelenítsék az overlay képernyőket az Android 7 és 8 készülékeken.
Ennek eredményeként más banki kártevő-fertőzések furcsa időpontokban mutatták az átfedés képernyőit, mivel nem tudták megmondani, hogy a felhasználók mikor néznek meg alkalmazásokat a képernyőn. A MysteryBot visszaél a használati hozzáférés engedélyével, amelyet általában egy alkalmazás statisztikáinak megjelenítésére terveztek. Közvetett módon kiszivárogtatja azokat a részleteket, amelyek jelenleg a felület elején jelennek meg.
Nem világos, hogy a MysteryBot milyen hatást gyakorol a Lollipop és a Marshmallow eszközökre, amelynek érdekes kutatást kell végeznie a következő hetekben, mivel ezek az eszközök nem feltétlenül tartalmazzák ezeket a biztonsági frissítéseket.
Több mint 100 népszerű alkalmazás megcélzásával, köztük sok olyan, amely a mobil e-bankolás világán kívül található, a MysteryBot képes lesz a bejelentkezési adatok kivonására még a veszélyeztetett felhasználóktól is, akik valójában nem használják annyira okostelefonjaikat. Úgy tűnik azonban, hogy a jelenlegi forgalomban nincs.
Ezenkívül, amikor a felhasználók megnyomnak egy gombot az érintéses billentyűzeten, a MysteryBot rögzíti az érintési gesztus helyét, majd a találgatások alapján megpróbálja háromszögbe állítani az általuk beírt virtuális kulcs helyzetét.
Bár ez fényévekkel megelőzi a korábbi screenshot-alapú Android billentyűzárakat, a biztonsági szakértők már keményen dolgoznak az enyhítés fejlesztésén.
Címkék Android biztonság
