Everpedia, Wikimedia Commons
Kamēr Android mobilās ierīces darbina droša bloķēta Linux kodola versija, drošības eksperti tagad ir atraduši vēl vienu Trojas zirgu, kas ietekmē plaši populāro operētājsistēmu. Eksperti, kas strādā ar ThreatFabric, to sauc par MysteryBot, šķiet, ka tas uzbrūk ierīcēm, kurās darbojas operētājsistēmas Android 7 un 8.
Dažos veidos MysteryBot ir līdzīgs agrākajai LokiBot ļaunprogrammatūrai. ThreatFabric pētnieki analizēja abu Trojas zirgu kodu un atklāja, ka vairāk nekā iespējams ir saikne starp abu veidotājiem. Viņi nonāca tik tālu, ka teica, ka MysteryBot pamatā ir LokiBot kods.
Tas pat nosūta datus tam pašam C&C serverim, kas savulaik tika izmantots LokiBot kampaņā, un tas nozīmētu, ka tos izstrādāja un izvietoja tās pašas organizācijas.
Ja tas tiešām tā ir, tad tas varētu būt saistīts ar faktu, ka LokiBot avota kods pirms dažiem mēnešiem tika nopludināts tīmeklī. Tas palīdzēja drošības ekspertiem, kuri spēja izstrādāt dažus tā mazināšanas pasākumus.
MysteryBot ir dažas iezīmes, kas to patiešām izceļ no cita veida Android banku ļaunprātīgas programmatūras. Piemēram, tas var droši parādīt pārklājuma ekrānus, kas atdarina likumīgu lietotņu pieteikšanās lapas. Google inženieri izstrādāja drošības funkcijas, kas ļaunprātīgai programmatūrai neļāva konsekventi rādīt pārklājuma ekrānus Android 7 un 8 ierīcēs.
Rezultātā citas banku ļaunprātīgas programmatūras infekcijas pārklājuma ekrānus parādīja nepāra laikos, jo viņi nevarēja pateikt, kad lietotāji skatījās lietotnes savā ekrānā. MysteryBot ļaunprātīgi izmanto piekļuves lietošanai atļauju, kas parasti ir paredzēta, lai rādītu statistiku par lietotni. Tas netieši nopludina informāciju par to, kura lietotne pašlaik tiek parādīta interfeisa priekšpusē.
Nav skaidrs, kāda ir MysteryBot ietekme uz Lollipop un Marshmallow ierīcēm, kam tuvāko nedēļu laikā vajadzētu veikt dažus interesantus pētījumus, jo šīm ierīcēm ne vienmēr ir visi šie drošības atjauninājumi.
Mērķauditorija atlasot vairāk nekā 100 populāras lietotnes, tostarp daudzas, kas atrodas ārpus mobilās e-bankas darbības, MysteryBot varētu iegūt pieteikšanās datus no pat apdraudētiem lietotājiem, kuri tik daudz neizmanto savus viedtālruņus. Tomēr šķiet, ka tas nav pašreizējā apgrozībā.
Turklāt ikreiz, kad lietotāji nospiež taustiņu uz skārienjutīgās tastatūras, MysteryBot ieraksta skāriena žesta atrašanās vietu un pēc tam mēģina trīsstūrveidot virtuālā taustiņa, kuru viņi ir ierakstījuši, balstoties uz minējumiem.
Lai gan tas ir gaismas gadus pirms iepriekšējiem uz ekrānuzņēmumiem balstītajiem Android taustiņinstrumentiem, drošības eksperti jau ir smagi strādājuši, izstrādājot mazināšanas pasākumus.
Tagi Android drošība
