Everpedia, Wikimedia Commons
Walaupun peranti mudah alih Android dikuasakan oleh kernel Linux versi terkunci yang selamat, para pakar keselamatan kini telah menemui Trojan lain yang mempengaruhi sistem operasi yang sangat popular. Dipanggil MysteryBot oleh pakar yang bekerja dengan ThreatFabric, nampaknya menyerang peranti yang menjalankan Android 7 dan 8.
Dalam beberapa cara, MysteryBot lebih kurang sama dengan perisian hasad LokiBot sebelumnya. Penyelidik ThreatFabric menganalisis kod kedua Trojans dan mendapati bahawa ada kemungkinan hubungan antara pencipta kedua-duanya. Mereka menyatakan bahawa MysteryBot berdasarkan kod LokiBot.
Ia bahkan mengirimkan data ke pelayan C&C yang sama yang pernah digunakan dalam kempen LokiBot, yang akan menyindir bahawa mereka dikembangkan dan digunakan oleh organisasi yang sama.
Sekiranya ini memang berlaku, maka ini mungkin berkaitan dengan fakta bahawa kod sumber LokiBot bocor ke web beberapa bulan yang lalu. Ini membantu pakar keselamatan yang dapat mengembangkan beberapa pengurangannya.
MysteryBot mempunyai beberapa ciri yang benar-benar membuatnya menonjol daripada jenis malware perbankan Android yang lain. Sebagai contoh, ia boleh menunjukkan skrin overlay yang meniru halaman log masuk aplikasi yang sah. Jurutera Google mengembangkan ciri keselamatan yang menghalang perisian hasad untuk menunjukkan skrin overlay pada peranti Android 7 dan 8 dengan cara yang konsisten.
Akibatnya, jangkitan malware perbankan lain menunjukkan skrin overlay pada waktu ganjil kerana mereka tidak dapat mengetahui kapan pengguna melihat aplikasi di layar mereka. MysteryBot menyalahgunakan izin Akses Penggunaan yang biasanya dirancang untuk menunjukkan statistik mengenai aplikasi. Secara tidak langsung ia membocorkan perincian mengenai aplikasi mana yang sedang dipaparkan di bahagian depan antara muka.
Tidak jelas apa pengaruh MysteryBot pada peranti Lollipop dan Marshmallow, yang semestinya membuat penyelidikan menarik dalam beberapa minggu akan datang kerana peranti ini tidak semestinya mempunyai semua kemas kini keselamatan ini.
Dengan mensasarkan lebih dari 100 aplikasi popular, termasuk banyak yang berada di luar dunia e-perbankan mudah alih, MysteryBot dapat mengumpulkan maklumat log masuk daripada pengguna yang dikompromikan yang tidak begitu banyak menggunakan telefon pintar mereka. Ia nampaknya tidak dalam edaran semasa
Di samping itu, setiap kali pengguna menekan kekunci pada papan kekunci berasaskan sentuhan, MysteryBot merekodkan lokasi isyarat sentuh dan kemudian mencuba kedudukan segitiga kunci maya yang mereka taip berdasarkan tekaan.
Walaupun ini masih bertahun-tahun menjelang keylogger Android berasaskan tangkapan skrin sebelumnya, pakar keselamatan sudah berusaha keras untuk mengurangkan mitigasi.
Teg Keselamatan Android
