Новое вредоносное ПО для Android: банковский троянец MysteryBot — последняя головная боль исследователей
Банковские трояны зарекомендовали себя как постоянная форма атаки для хакеров, стремящихся быстро нажиться. Всегда есть жертвы, которые попадаются на различные тактики социальной инженерии, а также программисты, желающие улучшить и без того эффективный класс вредоносного ПО. Именно эти два основных фактора вызвали всплеск появления новых банковских троянцев в ландшафте угроз за последние пару лет. Последнее, что произвело фурор с исследователями InfoSec, на первый взгляд является улучшенной версией LokiBot, но это преуменьшение. Исследователи из ThreatFabric (ранее известной как SfyLabs) опубликовали сообщение в блоге об этом конкретном банковском троянце. Учитывая название «MysteryBot» в отчете, исследователи отмечают, что «MysteryBot и LokiBot Android banker работают на одном C&C-сервере», но банковский троянец MysteryBot гораздо опаснее, чем LokiBot 2.0. Хотя весьма вероятно, что автор LokiBot стоит за банковским трояном MysteryBot, последний гораздо более мощный с точки зрения того, что он может сделать.
Хотя у него есть много основных функций других банковских троянцев (например, кейлоггинг), MysteryBot отличается от конкурентов тем, как он справляется с оверлейными атаками в версиях 7 (Nougat) и 8 (Oreo) ОС Android. В этих конкретных обновлениях, а именно в добавлении Security-Enhanced Linux (SELinux), ОС Android сделала практически невозможным правильное определение времени атак с наложением. Эти атаки были основой предыдущих воплощений банковских троянцев, и поэтому версии Android 7 и 8 создали множество проблем при развертывании ранее эффективных методов взлома. В то время как другие авторы банковских троянцев бьются головой о стену, MysteryBot является первым обновлением после Android 7 и 8, которое эффективно выполняет оверлейные атаки.
ThreatFabric объясняет стратегию следующим образом:
Успех оверлейных атак зависит от времени, заманивания жертвы на поддельную страницу с запросом учетных данных или информации о кредитной карте в тот момент, когда жертва открывает соответствующее приложение… Новый метод… злоупотребляет разрешением Android PACKAGE_USAGE_STATS … Код MysteryBot, был объединен с помощью так называемого метода PACKAGE_USAGE_STATS. Поскольку для злоупотребления этими разрешениями Android требуется, чтобы жертва предоставила разрешения на использование, MysteryBot использует популярную службу AccessibilityService, позволяющую троянцу включать и злоупотреблять любым необходимым разрешением без согласия жертвы.
На момент публикации отчета ThreatFabric случаев заражения MysteryBot было немного. Однако это, вероятно, изменится, как это всегда бывает с любым новым видом вредоносного ПО. Исследователям во многих отношениях повезло, что они успели избежать этого до того, как инфекции действительно вырвутся наружу. Особенно учитывая банковский троянец MysteryBot, также содержащий экспериментальный компонент программы-вымогателя (редкий для банковских троянцев), который может «индивидуально шифровать все файлы в каталоге внешнего хранилища, включая каждый подкаталог», крайне важно, чтобы финансовые учреждения обратили внимание на это новейшее вредоносное ПО.
Риски слишком велики, чтобы их игнорировать.