MysteryBot to groźny trojan bankowy przystosowany do nowych wersji Androida

Michał Derej Artykuły 2018-06-17

Każdy spośród nas z pewnością troszczy się o bezpieczeństwo danych zgromadzonych na swoim smartfonie. Aby zapobiec nieupoważnionemu dostępowi niepowołanych osób do naszych plików, należy przede wszystkim unikać instalowania podejrzanych aplikacji na urządzeniu i monitorować uprawnienia pobranych już programów. Warto także pamiętać, że dodatkowa wiedza jeszcze nigdy nikomu nie zaszkodziła – warto znać swojego wroga, więc zachęcam do śledzenia kategorii „Bezpieczeństwo”, gdzie opisujemy dla Was najpopularniejsze zagrożenia czyhające na użytkowników Androida. Dziś zaprezentuję Wam wirusa o nazwie MysteryBot, następcę opisywanego wcześniej LokiBota, który przystosowany jest do najnowszych wersji systemu Google’a.

MysteryBot stara się wykraść dane logowania do Waszego konta w banku. Co robi?

Tak jak już wspominałem w poprzednim akapicie, koń trojański o nazwie MysteryBot jest następcą niesławnego LokiBota. Świadczy o tym kod aplikacji, który częściowo skopiowany jest z poprzedniego projektu hakerów oraz serwer, z którego korzystają cyberprzestępcy – to właśnie z niego złośliwe oprogramowanie otrzymuje wszystkie aktualizacje i instrukcje. Co ciekawe, MysteryBot jest pionierem wśród wszystkich trojanów przystosowanych do Androida, które znaleźć można w sieci – okazuje się, że program ten jako pierwszy korzysta z nakładek ekranowych, które pozwalają na poznanie Waszego hasła.

Android 7 Nougat i 8 Oreo popsuł olbrzymią część wirusów. Czemu MysteryBot zatem działa?

Wraz z premierą nowszych odsłon Androida, Nougata i Oreo, Google zabroniło twórcom aplikacji korzystania z nakładek ekranowych, które stosowane były głównie do wykradania haseł użytkowników. Twórcom MysteryBota udało się jednak obejść ten system – dzięki uprawnieniu PACKAGE_USAGE_STATS, które musi zostać nadane w ustawieniach dostępności, koń trojański wyświetlać może nakładki, które imitują pola logowania do banków z wielu krajów na świecie, w tym także tych dostępnych w Polsce. Co więcej, program wykradać może również hasła do popularnych komunikatorów, takich jak np. Facebook, WhatsApp i Viber.

Zobacz też: Sztuczna inteligencja w Gmailu posegreguje Twoje wiadomości e-mail.

MysteryBot to również sprytny keylogger

Kto powiedział, że wirus powinien ograniczać się do jednej nakładki? MysteryBot, by upewnić się, że hasło zostanie poprawnie przesłane, korzysta dodatkowo z niewidocznej nakładki, która zapisuje miejsca, w które stuknął użytkownik. W ten sposób cyberprzestępcy mogą rozszyfrować, jakie jest hasło danej osoby, nawet wtedy, gdy właściciel smartfona zorientuje się, że wyświetlone pole logowania do banku jest nieprawdziwe. MysteryBot posiada również cechy oprogramowania ransomware, ale jako że jest ono wybitnie nieudane, to nie będę o nich wspominał.

Co robić, jak żyć?

Przede wszystkim uważajcie, na linki, w które klikacie w sieci – MysteryBot rozprzestrzeniany jest za pomocą kampanii phishingowej, która dostarczana jest na skrzynki e-mail. Malware dystrybuowane jest również w formie SMS-ów. Następca LokiBota najczęściej ukrywa się w nieprawdziwym pliku .apk aplikacji Adobe FlashPlayer. Pamiętajcie, by pod żadnym pozorem, nie nadawać niezaufanym aplikacjom uprawnień dostępności – jak widać, może skończyć się to fatalnie!

Źródło: BleepingComputer



  • Darth Darthowski

    Android, jeszcze ktoś mi powie że to bezpieczny system?

  • Bramborys

    Jeżeli korzystam z dedykowanych aplikacji bankowych i nie loguję się do konta bankowego poprzez przeglądarkę to istnieje zagrożenie czy nie? Czy Bitdefender mobile security wykryje takiego intruza w systemie ?

    • Michał Derej

      Bitdefender powinien wykryć, lecz tu nie chodzi o przeglądarkę – ten trojan wyświetla okno nad faktycznym oknem logowania banku. Jeśli jednak nie ściągasz dziwnych programów i nie nadajesz im uprawnień, to jesteś bezpieczny. 🙂

  • Antonio

    Pisałem o nakładkach ekranowych i możliwości sczytania hasła jakieś 2 lata temu. Wtedy nikt nie słuchał.

    • Michał Derej

      Najwięcej osób zauważa błędy już po fakcie.

  • „MysteryBox to również sprytny keylogger” – to w końcu MysteryBox czy MysteryBot bo zgłupiałem?

    • Michał Derej

      Oczywiście MysteryBot, pomyłka, a potem poszło. Poprawione, dzięki.