Исследователи из голландской ИБ-компании ThreatFabric (бывшая SfyLabs) обнаружили в дикой природе новый Android-троян, по коду схожий с хорошо известным банкером LokiBot. Анализ зловреда, именуемого MysteryBot, показал, что он умеет воровать учетные данные с помощью оверлеев, отслеживать нажатия клавиш и блокировать доступ к данным, перенесенным на внешнюю карту памяти.

Судя по списку поддерживаемых команд, новоявленный родственник LokiBot способен также инициировать и переадресовывать звонки на указанные номера телефона, осуществлять USSD-вызовы, добывать и обнулять список контактов, сменять дефолтное SMS-приложение, копировать, удалять и рассылать SMS по всем контактам жертвы.

По свидетельству экспертов, MysteryBot пока не рекламируется на подпольных форумах. Его разработка, по всей видимости, еще не закончена, хотя уже видно, что некоторые свойства этого зловреда уникальны. Реализация функциональности, обеспечивающей оверлей-атаки, перехват нажатий клавиш, блокировку файлов, выгодно отличает данный проект от LokiBot и других мобильных банкеровExoBot 2.5, Anubis II, DiseaseBot, CryEye.

Так, это первый троян в коллекции ThreatFabric, который способен безупречно применять оверлеи на Android 7 и 8. Дело в том, что в ОС этих версий Google ввела дополнительную защиту — в частности, систему контроля доступа SELinux, из-за которой оверлейные зловреды стали промахиваться при наложении фишингового экрана. Прозевав момент открытия нужной программы, они предлагают жертве залогиниться в неурочное время и тем самым невольно выдают свое присутствие.

Федот, да не тот

Как показал анализ, MysteryBot успешно обходит SELinux и другие защитные нововведения, используя Android-функцию PACKAGE_USAGE_STATS, которая открывает доступ к статистике использования текущего приложения. Соответствующим разрешением зловред заручается без ведома жертвы, если у него есть доступ к Accessibility Service — эту привилегию троян предварительно запрашивает у владельца устройства.

На настоящий момент MysteryBot умеет собирать идентификаторы к системам онлайн-банкинга Австралии, Австрии, Германии, Испании, Франции, Хорватии, Польши и Румынии. Его также интересуют учетные данные для доступа к IM-сервисам — в частности, к Facebook Messenger, WhatsApp и Viber. Совокупно данный троян способен атаковать более сотни Android-приложений.

Функциональность кейлоггера авторы MysteryBot тоже реализовали необычным образом. Соответствующий компонент не делает снимки экрана, вместо этого он регистрирует места касаний на виртуальной клавиатуре, которую предположительно использует жертва. Как показало тестирование, собранные данные пока никуда не отсылаются.

Модуль, выполняющий блокировку файлов, сохраненных на внешнем носителе, не шифрует их, а архивирует, преобразуя каждый найденный файл в запароленный ZIP. После преобразования оригинал удаляется; завершив процесс, MysteryBot выводит жертве сообщение, обвиняющее ее в просмотре запрещенного контента (порно). Для восстановления данных злоумышленники предлагают связаться с ними по указанному адресу @mail.ru.

Как обнаружили в ThreatFabric, код зловреда, отвечающий за эту функциональность, несовершенен. Генерируемый им пароль — единый для всех создаваемых ZIP-архивов — легко взломать брутфорсом: это всего лишь восьмизначная комбинация букв латиницы (заглавных и строчных) и цифр. Пароль вместе с ID жертвы отсылается на удаленную панель управления, именуемую Myster_L0cker. Персональный идентификатор в данном случае представлен числом, выбор которого ограничен диапазоном от 0 до 9999. К сожалению, проверка на совпадение в Myster_L0cker не производится, поэтому ранее зарегистрированный ID в таких случаях попросту перезаписывается.

Родственные узы

Панель Myster_L0cker отделена от центра управления MysteryBot, который, как показало расследование, также использовал LokiBot в ходе одной из своих кампаний. По мнению экспертов, этот факт, а также сходство кодовой базы говорят в пользу родства новобранца и LokiBot, исходники которого утекли в Сеть пару месяцев назад.

Способ распространения MysteryBot точно определить пока не удалось — вполне возможно, что новый троян, как и LokiBot, раздается через SMS- и email-сообщения с вредоносными ссылками. Все подвергнутые анализу образцы MysteryBot были замаскированы под Android-версию Flash Player в расчете на то, что пользователь сам найдет и загрузит давно вышедшее из употребления приложение, чтобы просмотреть заинтересовавшее его содержимое сайта.

Во избежание подобных заражений эксперты рекомендуют загружать Android-программы только из официальных магазинов, хотя те тоже не могут гарантировать безвредность предлагаемого контента. Также не следует бездумно одобрять доступ приложения к привилегированному Accessibility-сервису: такое разрешение зачастую запрашивают мобильные зловреды. MysteryBot расширенные полномочия нужны не только для оверлейных манипуляций, но также для регистрации работы с клавиатурой и блокировки файлов.

Категории: Аналитика, Вредоносные программы