Everpedia, Wikimedia Commons
Tot i que els dispositius mòbils Android funcionen amb una versió segura del nucli Linux, els experts en seguretat han trobat un altre troià que afecta el popular sistema operatiu. Anomenat MysteryBot per experts que treballen amb ThreatFabric, sembla atacar els dispositius amb Android 7 i 8.
D’alguna manera, MysteryBot s’assembla molt al malware LokiBot anterior. Els investigadors de ThreatFabric van analitzar el codi dels dos troians i van trobar que hi ha més que probable que hi hagi un vincle entre els creadors d’ambdós. Van arribar a dir que MysteryBot es basa en el codi de LokiBot.
Fins i tot envia dades al mateix servidor C&C que abans es feia servir en una campanya LokiBot, cosa que insinuaria que les mateixes organitzacions les van desenvolupar i desplegar.
Si aquest és el cas, podria estar relacionat amb el fet que el codi font de LokiBot es va filtrar al web fa uns mesos. Això va ajudar els experts en seguretat que van ser capaços de desenvolupar algunes mitigacions.
MysteryBot té alguns trets que realment el diferencien d'altres tipus de programari maliciós bancari d'Android. Per exemple, pot mostrar de manera fiable pantalles superposades que imiten les pàgines d'inici de sessió d'aplicacions legítimes. Els enginyers de Google van desenvolupar funcions de seguretat que impedien que el programari maliciós mostri pantalles superposades als dispositius Android 7 i 8 de manera coherent.
Com a resultat, altres infeccions de programari maliciós bancari van mostrar les pantalles de superposició en moments estranys, ja que no sabien quan els usuaris miraven les aplicacions a la pantalla. MysteryBot abusa del permís d’accés a l’ús que normalment es dissenya per mostrar estadístiques sobre una aplicació. Indica indirectament detalls sobre quina aplicació es mostra actualment a la part frontal de la interfície.
No està clar quina influència té MysteryBot en els dispositius Lollipop i Marshmallow, cosa que hauria de fer una investigació interessant en les properes setmanes, ja que aquests dispositius no necessàriament tenen totes aquestes actualitzacions de seguretat.
Mitjançant la segmentació a més de 100 aplicacions populars, incloses moltes que es troben fora del món de la banca electrònica per a mòbils, MysteryBot podria obtenir dades d’inici de sessió fins i tot d’usuaris compromesos que realment no fan servir tant els seus telèfons intel·ligents. Tanmateix, no sembla que estigui en circulació actual.
A més, cada vegada que els usuaris premen una tecla del teclat basat en el tacte, MysteryBot registra la ubicació del gest tàctil i, a continuació, intenta triangular la posició de la tecla virtual que van escriure en base a les suposicions.
Tot i que hi ha anys llum per davant dels anteriors keyloggers d'Android basats en captures de pantalla, els experts en seguretat ja treballen intensament desenvolupant una mitigació.
Etiquetes Seguretat d'Android
