Każdy spośród nas z pewnością troszczy się o bezpieczeństwo danych zgromadzonych na swoim smartfonie. Aby zapobiec nieupoważnionemu dostępowi niepowołanych osób do naszych plików, należy przede wszystkim unikać instalowania podejrzanych aplikacji na urządzeniu i monitorować uprawnienia pobranych już programów. Warto także pamiętać, że dodatkowa wiedza jeszcze nigdy nikomu nie zaszkodziła – warto znać swojego wroga, więc zachęcam do śledzenia kategorii „Bezpieczeństwo”, gdzie opisujemy dla Was najpopularniejsze zagrożenia czyhające na użytkowników Androida. Dziś zaprezentuję Wam wirusa o nazwie MysteryBot, następcę opisywanego wcześniej LokiBota, który przystosowany jest do najnowszych wersji systemu Google’a.
MysteryBot stara się wykraść dane logowania do Waszego konta w banku. Co robi?
Tak jak już wspominałem w poprzednim akapicie, koń trojański o nazwie MysteryBot jest następcą niesławnego LokiBota. Świadczy o tym kod aplikacji, który częściowo skopiowany jest z poprzedniego projektu hakerów oraz serwer, z którego korzystają cyberprzestępcy – to właśnie z niego złośliwe oprogramowanie otrzymuje wszystkie aktualizacje i instrukcje. Co ciekawe, MysteryBot jest pionierem wśród wszystkich trojanów przystosowanych do Androida, które znaleźć można w sieci – okazuje się, że program ten jako pierwszy korzysta z nakładek ekranowych, które pozwalają na poznanie Waszego hasła.
Android 7 Nougat i 8 Oreo popsuł olbrzymią część wirusów. Czemu MysteryBot zatem działa?
Wraz z premierą nowszych odsłon Androida, Nougata i Oreo, Google zabroniło twórcom aplikacji korzystania z nakładek ekranowych, które stosowane były głównie do wykradania haseł użytkowników. Twórcom MysteryBota udało się jednak obejść ten system – dzięki uprawnieniu PACKAGE_USAGE_STATS, które musi zostać nadane w ustawieniach dostępności, koń trojański wyświetlać może nakładki, które imitują pola logowania do banków z wielu krajów na świecie, w tym także tych dostępnych w Polsce. Co więcej, program wykradać może również hasła do popularnych komunikatorów, takich jak np. Facebook, WhatsApp i Viber.
Zobacz też: Sztuczna inteligencja w Gmailu posegreguje Twoje wiadomości e-mail.
MysteryBot to również sprytny keylogger
Kto powiedział, że wirus powinien ograniczać się do jednej nakładki? MysteryBot, by upewnić się, że hasło zostanie poprawnie przesłane, korzysta dodatkowo z niewidocznej nakładki, która zapisuje miejsca, w które stuknął użytkownik. W ten sposób cyberprzestępcy mogą rozszyfrować, jakie jest hasło danej osoby, nawet wtedy, gdy właściciel smartfona zorientuje się, że wyświetlone pole logowania do banku jest nieprawdziwe. MysteryBot posiada również cechy oprogramowania ransomware, ale jako że jest ono wybitnie nieudane, to nie będę o nich wspominał.
Co robić, jak żyć?
Przede wszystkim uważajcie, na linki, w które klikacie w sieci – MysteryBot rozprzestrzeniany jest za pomocą kampanii phishingowej, która dostarczana jest na skrzynki e-mail. Malware dystrybuowane jest również w formie SMS-ów. Następca LokiBota najczęściej ukrywa się w nieprawdziwym pliku .apk aplikacji Adobe FlashPlayer. Pamiętajcie, by pod żadnym pozorem, nie nadawać niezaufanym aplikacjom uprawnień dostępności – jak widać, może skończyć się to fatalnie!
Źródło: BleepingComputer