MisteryBot: bankarski trojanac, keylogger i ransomware u jednom malveru

Opisi virusa, 15.06.2018, 11:00 AM

Sajber kriminalci razvijaju novi malver nazvan MisteryBot koji cilja Android uređaje i koji objedinjuje funkcije bankarskog trojanca, keyloggera i mobilnog ransomwarea.

Istraživači iz firme ThreatFabric koji su otkrili ovaj malver kažu da je MisteryBot povezan sa poznatim i veoma popularnim bankarskim trojancem za Android LokiBot.

"Na osnovu naše analize koda oba trojanca, verujemo da postoji stvarna veza između tvoraca LokiBota i MisteryBota", kažu istraživači koji smatraju da je kod MisteryBota zasnovan na kodu LokiBota.

Štaviše, MisteryBot šalje podatke istom komandno-kontrolnom serveru (C&C) koji se koristio u prošloj kampanji LokiBota, što jasno ukazuje na to da ih iste osobe ili grupa kontrolišu i razvijaju.

Razlozi zbog kojih grupa koja stoji iza LokiBota sada razvija MisteryBot nisu poznati, ali mogu biti povezani sa činjenicom da je izvorni kod LokiBota procureo na internetu pre nekoliko meseci.

Nekoliko grupa iskoristilo je kod LokiBota i sada ga koriste, a autori LokiBota možda pokušavaju da razviju novi malver koju mogu prodavati na forumima podzemlja kao što su to uradili sa LokiBotom.

"Po našem saznanju, MisteryBot se trenutno ne reklamira na forumima podzemlja, verovatno zbog činjenice da je još uvijek u razvoju", kažu istraživači.

Takođe se čini da autori MisteryBota rade na stvaranju nečeg novog i vrednog da drugi kriminalci izdvoje novac za to.

Istraživači kažu da je MisteryBot jedinstven na mnogo načina u poređenju sa LokiBotom, ali i sa drugim malverima za Android.

MisteryBot je prvi bankarski malver koji može da prikaže ekran preko ekrana na Androidu 7 i Androidu 8. Bankarski malver koristi ove ekrane da prikaže lažne stranice za prijavljivanje iznad legitimnim aplikacijama. Zbog sigurnosnih funkcija koje su Googleovi inženjeri dodali u Android 7 i 8, nijedan malver nije mogao prikazivati takve ekrane na ovim verzijama operativnog sistema na dosledan način. Problem je bio što su prethodni malveri pokazivali ekrane za preklapanje u pogrešnom trenutku jer nisu mogli da detektuju kada korisnik pregleda aplikaciju i pogrešno izračunavali vreme kada bi trebalo da prikažu ekran, odajući svoje prisustvo zahtevom da se korisnik prijavi u pogrešno vreme.

Čini se da je grupa koja stoji iza MisteryBot pronašla pouzdan način do otkrije kada treba prikazati ekran za prijavljivanje, u pravom trenutku, kada korisnik otvori aplikaciju. Uradili su to zloupotrebom dozvole Android PACKAGE_USAGE_STATS (koja se često naziva Usage Access), funkcijom Android OS koja prikazuje statičke podatke o aplikaciji i indirektno daje detalje o trenutno korištenoj aplikaciji.

Trenutna verzija MisteryBota uključuje prilagođene ekrane za prekrivanje aplikacija za mobilni e-banking (iz Australije, Austrije, Nemačke, Španije, Francuske, Hrvatske, Poljske, Rumunije) i aplikacija za razmenu poruka kao što su Facebook, WhatsApp i Viber. Malver cilja više od 100 aplikacija, a istraživači očekuju da će MisteryBot narednih nedelja povećati svoj arsenal ekrana.

Malver takođe sadrži keylogger komponentu, koja je takođe jedinstvena u poređenju sa drugim keyloggerima pronađenim na Android tržištu. Istraživači kažu da umesto da snima screenshotove u trenutku kada korisnik pritisne taster na tastaturi da bi utvrdio šta korisnik piše, MisteryBot beleži lokaciju pokreta dodira. Keylogger potom pokušava da pogodi koji je taster korisnik pritisnuo. Istraživači kažu da ova komponenta još uvek ne radi, jer trenutne verzije ne čine ništa sa zabeleženim informacijama.

Na kraju, ali ne i najmanje važno, baš kao i LokiBot, i MisteryBot sadrži i ransomware modul. Ovaj modul omogućava kriminalcima da zaključaju sve fajlove korisnika koji se čuvaju na spoljnim uređajima za skladištenje podataka. Ransomware ne šifruje fajlove, već zaključava svaki fajl u ZIP fajl zaštićen lozinkom. Istraživači kažu da je ransomware modul prilično loš kodiran. Lozinka za ZIP fajl ima samo osam znakova, što znači da vrlo lako može biti pogođena. Drugo, ova lozinka i ID zaraženog uređaja korisnika šalju se na panel za daljinsko upravljanje nazvan Mister_L0cker. Problem je u tome što ID dodeljen svakoj žrtvi može biti samo između 0 i 9999, a ne postoji verifikacija već postojećih ID-jeva kada se šalju na kontrolni panel.

Istraživači kažu da su verzije MisteryBota koje su do sada primetili istraživači maskirane u aplikaciju ili u ažuriranje za Flash Player za Android.

"Uopšte, korisnik mora biti svestan da su sve aplikacije Flash Player (update) koje se mogu naći u i izvan različitih prodavnica aplikacija malveri," kažu iz ThreatFabrica. "Mnoge web stranice još uvek zahtevaju od posetilaca podršku za Flash (koja odavno nije dostupna na Androidu), što dovodi do toga da korisnici Androida pokušavaju da pronađu aplikaciju koja će im omogućiti da koriste taj web sajt. Na kraju će samo završiti sa instaliranim malverom."

MisteryBot trenutno nije u opticaju. Njegov prethodnik, LokiBot, ranije je bio distribuiran putem SMS spama i emailova (fišing) sa linkovima za Android aplikaciju. Korisnici su instalirali zlonamernu aplikaciju i potom odobravali aplikaciji pristup Android Accessibility servisu pre nego što malver napravi bilo kakvu štetu. MisteryBot će se možda distribuirati na isti način, s obzirom na veze sa grupom LokiBot.

Stručnjaci preporučuju korisnicima da izbegavaju instaliranje aplikacija izvan Play prodavnice, i da izbjegavaju odobravanje pristupa Accessibility usluzi, koju u većini slučajeva uglavnom koriste malveri. Trenutno, MisteryBotu i dalje treba pristup usluzi pristupačnosti, koju koristi za svoje keylogger i ransomware komponente.

Malver koristi uslugu pristupačnosti kako bi dobio pristup funkciji PACKAGE_USAGE_STATS bez dozvole korisnika. To znači da korisnici i dalje mogu da otkriju MisteryBot pre nego što budu zaraženi kada im bude zatraženo da dozvole aplikaciji pristup usluzi pristupačnosti.

Osim toga, korisnici takođe treba da obrate pažnju na ono što preuzimaju iz Play prodavnice.