بدافزار اندرویدی MysteryBot

به گزارش کار گروه امنیت سایبربان؛ با توجه به بررسی های انجام گرفته و بنابر گفته محققان امنیتیThreatFabric ، این بدافزار که (MysteryBot) نامگذاری شده است با احتمال بسیار بالایی وابسته به خانواده تروجان مشهور LokiBot است. به عنوان مثال، بدافزار (MysteryBot) داده ها را به همان سرور C&C که LokiBot با آن در ارتباط بود، ارسال می کند که این امر به وضوح نشان می دهد که این دو بدافزار توسط فرد یا گروه یکسانی کنترل و توسعه داده می شوند.

به نظر می رسد (MysteryBot) اولین بدافزار بانکی است که می تواند به طور قابل اعتماد روی Overlay  Screens در Android 7 و Android 8 نشان داده شود. این بدافزار از Overlay Screens برای نمایش صفحات ورود جعلی در روی برنامه های قانونی استفاده می کند. لازم به ذکر است که این بدافزار درحالی این قابلیت را از خود نشان می دهد که ویژگی های امنیتی که مهندسان گوگل در اندروید ۷ و ۸ اضافه کرده اند به هیچ بدافزاری اجازه نمایش Overlay Screens در این نسخه ها را نمی دهند. بدافزار این کار را با سوء استفاده از مجوز Android PACKAGE_USAGE_STATS انجام می دهد. (MysteryBot) شامل Overlay Screens سفارشی برای همراه بانک الکترونیک (از استرالیا، اتریش، آلمان، اسپانیا، فرانسه، کرواسی، لهستان، رومانی) و برنامه های مانند فیس بوک، WhatsApp و Viber است و انتظار می رود به این تعداد اضافه گردد.

این بدافزار همچنین حاوی یک Keylogger است که در مقایسه با دیگر keyloggerهای موجود در بازار اندروید منحصر به فرد است. این Keylogger به جای گرفتن تصاویر لحظه ای، محل gesture صفحه را ثبت می کند تا بعدا تخمین بزند که کاربر چه چیزی تایپ می کند.
یکی دیگر از ویژگی های این بدافزار دارا بودن یک ماژول باج افزار است. این ماژول تمام فایل های ذخیره شده در حافظه خارجی دستگاه را قفل می کند. این ماژول، فایل ها را رمزگذاری نمی کند بلکه هر یک از آن ها در یک آرشیو ZIP شخصی محافظت شده با رمز عبور قفل می کند. این رمز عبور و شناسه دستگاه آلوده شده به یک پنل کنترل از راه دور به نام Myster_L0cker ارسال می شود.

 بنابر گزارش های منتشر شده، پیش تر LokiBot از طریق پیامک های اسپم (smishing) و ایمیل (phising) حاوی پیوندهایی به یک برنامه Android پخش شده است. بنابراین این امکان وجود دارد که (MysteryBot) نیز به همان شیوه توزیع شود. این در حالی است که تاکنون نسخه های فعلی (MysteryBot) به عنوان یک برنامه Flash Player برای اندروید معرفی شده است. به طور کلی، کاربران اندروید باید آگاه باشد که بیشتر برنامه های به اصطلاح «فلش پلیر» که در داخل و خارج از فروشگاه های برنامه های مختلف یافت می شوند، به احتمال زیاد نرم افزارهای مخرب هستند. کارشناسان توصیه می کنند که کاربران از نصب برنامه های جانبی خارج از فروشگاه معتبر اجتناب کنند. در حال حاضر، (MysteryBot) نیاز به مجوز PACKAGE_USAGE_STATS دارد که  از آن را برای عملکرد دو ماژول keylogger و ransomware  خود استفاده کند. پس کاربران باید در خصوص اعطای این گونه مجوزها به برنامه های نامعتبر اجتناب کنند.