MysteryBot Malware riktar sig mot Android 7 och 8 enheter med nya tricks

Everpedia, Wikimedia Commons

Medan Android-mobila enheter drivs av en säker låst version av Linux-kärnan har säkerhetsexperter nu hittat en annan Trojan som påverkar det mycket populära operativsystemet. Kallas MysteryBot av experter som arbetar med ThreatFabric, det verkar attackera enheter som kör Android 7 och 8.

På vissa sätt är MysteryBot ungefär som den tidigare skadliga programvaran LokiBot. ThreatFabrics forskare analyserade koden för båda trojanerna och fann att det mer än troligt finns en länk mellan skaparna av dem båda. De gick så långt som att säga att MysteryBot är baserad på LokiBots kod.

Det skickar till och med data till samma C & C-server som en gång användes i en LokiBot-kampanj, vilket skulle antyda att de utvecklades och distribuerades av samma organisationer.

Om detta verkligen är fallet kan det vara relaterat till det faktum att LokiBots källkod läckte ut på nätet för några månader sedan. Detta hjälpte säkerhetsexperter som kunde utveckla några begränsningar för det.

MysteryBot har några egenskaper som verkligen gör att den sticker ut från andra typer av Android-bank malware. Till exempel kan det på ett tillförlitligt sätt visa överläggsskärmar som efterliknar inloggningssidorna för legitima appar. Googles ingenjörer utvecklade säkerhetsfunktioner som förhindrade skadlig kod från att visa överlagringsskärmar på Android 7 och 8-enheter på ett konsekvent sätt.

Som ett resultat visade andra bankinfektioner med skadlig programvara överlagringsskärmarna vid udda tillfällen eftersom de inte kunde berätta när användarna tittade på appar på sin skärm. MysteryBot missbrukar behörigheten Usage Access som normalt är utformad för att visa statistik om en app. Det läcker indirekt detaljer om vilken app som för närvarande visas på framsidan av gränssnittet.

Det är oklart vilket inflytande MysteryBot har på Lollipop och Marshmallow-enheter, vilket borde ge en intressant forskning under de kommande veckorna eftersom dessa enheter inte nödvändigtvis har alla dessa säkerhetsuppdateringar.

Genom att rikta in sig på över 100 populära appar, inklusive många som är utanför världen av mobil e-bank, kan MysteryBot kunna hämta inloggningsinformation från till och med kompromitterade användare som inte riktigt använder sina smartphones så mycket. Det verkar dock inte vara i nuvarande cirkulation.

Dessutom, när användare trycker på en tangent på det pekbaserade tangentbordet, registrerar MysteryBot platsen för pekgesten och försöker sedan triangulera positionen för den virtuella nyckeln de skrev baserat på gissningar.

Även om detta är ljusår före de tidigare skärmdumpbaserade Android-keyloggersna, arbetar säkerhetsexperter redan med att utveckla en lindring.