بدافزار MysteryBot روی دستگاههای اندرویدی در حال گسترش است.
منبع : مرکز مدیریت راهبردی افتا ریاست جمهوری
بدافزار MysteryBot روی دستگاههای اندرویدی در حال گسترش است.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، مجرمان سایبری در حال توسعه نوع جدیدی از بدافزار ترکیبی (تروجان بانکی)،کیلاگر و باجافزار برای دستگاههای اندروید است. با توجه به بررسیهای انجامگرفته و بنابر گفته محققان امنیتی ThreatFabric، این بدافزار که MysteryBot نامگذاری شدهاست با احتمال بسیار بالایی وابسته به خانواده تروجان مشهور LokiBot است. به عنوان مثال، بدافزار MysteryBot دادهها را به همان سرور C&C که LokiBot با آن در ارتباط بود، ارسال میکند که این امر به وضوح نشان میدهد که این دو بدافزار توسط فرد یا گروه یکسانی کنترل و توسعه دادهمیشوند.
به نظر میرسد MysteryBot اولین بدافزار بانکی است که میتواند بهطور قابل اعتماد روی Overlay Screens در Android ۷ و Android ۸ نشان دادهشود. این بدافزار از Overlay Screens برای نمایش صفحات ورود جعلی در روی برنامههای قانونی استفاده میکند. این بدافزار درحالی این قابلیت را از خود نشان میدهد که ویژگیهای امنیتی افزودهشده در اندروید ۷ و ۸ به هیچ بدافزاری اجازه نمایش Overlay Screens در این نسخهها را نمیدهند. بدافزار این کار را با سوءاستفاده از مجوز Android PACKAGE_USAGE_STATS انجام میدهد. MysteryBot شامل Overlay Screens سفارشی برای همراه بانک الکترونیک (از استرالیا، اتریش، آلمان، اسپانیا، فرانسه، کرواسی، لهستان، رومانی) و برنامههای مانند فیسبوک، واتساپ و وایبر است و انتظار میرود به این تعداد اضافه شود.
این بدافزار همچنین حاوی یک کیلاگر است که در مقایسه با دیگر کیلاگرهای موجود در بازار اندروید منحصربهفرد است. این کیلاگر به جای گرفتن تصاویر لحظهای، محل gesture صفحه را ثبت میکند تا بعد تخمین بزند که کاربر چه چیزی تایپ میکند.
یکی دیگر از ویژگیهای این بدافزار دارا بودن یک ماژول باجافزار است. این ماژول تمام فایلهای ذخیره شده در حافظه خارجی دستگاه را قفل میکند. این ماژول، فایلها را رمزگذاری نمیکند، بلکه هریک از آنها را در یک آرشیو ZIP شخصی محافظت شده با رمز عبور قفل میکند. این رمز عبور و شناسه دستگاه آلوده شده به یک پنل کنترل از راه دور به نام Myster_L۰cker ارسال میشود.
بنابر گزارشهای منتشر شده، پیشتر LokiBot از طریق پیامکهای اسپم (smishing) و ایمیل (phising) حاوی پیوندهایی به یک برنامه Android پخش شدهاست، بنابراین این امکان وجود دارد که MysteryBot نیز به همان شیوه توزیع شود. این در حالی است که تاکنون نسخههای فعلی MysteryBot به عنوان یک برنامه Flash Player برای اندروید معرفی شدهاست.
«بهطور کلی، کاربران اندروید باید آگاه باشد که بیشتر برنامههای به اصطلاح فلش پلیر که در داخل و خارج از فروشگاههای برنامههای مختلف یافت میشوند به احتمال زیاد نرمافزارهای مخرب هستند. کارشناسان توصیه میکنند که کاربران از نصب برنامههای جانبی خارج از فروشگاه معتبر اجتناب کنند. در حال حاضر، MysteryBot نیاز به مجوز PACKAGE_USAGE_STATS دارد که از آن را برای عملکرد دو ماژول keylogger و ransomware خود استفاده کند. پس کاربران باید در خصوص اعطای اینگونه مجوزها به برنامههای نامعتبر اجتناب کنند.