Нещодавно ThreatFabric виявив новий Android-троян, який отримав назву "MysteryBot", який, як кажуть, схожий на банківський троян Android - LokiBot. Це шкідливе програмне забезпечення здатне вкрасти дані користувача, а також має вбудоване програмне забезпечення-вимогатель, яке називають «Mystery_L0cker».
Це шкідливе програмне забезпечення було виявлено під час розслідування заражених цілей програми-вимогателя GandCrab. І, схоже, що дійовими особами, відповідальними за цю атаку, є та сама група, яка відповідала також за вимога-програму LokiBot. ThreatFabric також з'ясував, що обидві інфекції працюють на одному сервері C&C, який купив їх до висновку, що це може бути оновленням LokiBot або новим шкідливим програмним забезпеченням, розробленим тим самим активним групи.
Зазвичай вони надсилають вам електронні листи та повідомлення зі спамом, в яких просять користувачів завантажувати заражені файли. Інфекції або додаються до повідомлення, або гіперпосилаються у вмісті електронної пошти.
На цьому ThreatFabric сказав:
“Під час обробки нашого щоденного набору підозрілих зразків, наше правило виявлення для банківського трояна Android LokiBot підібрав зразок, який здавався зовсім іншим, ніж сам LokiBot, закликаючи нас уважніше розглянути це. Переглядаючи команди бота, ми спочатку подумали, що LokiBot вдосконалений.
Однак ми швидко зрозуміли, що відбувається ще щось: ім'я бота та назва панелі змінено на "MysteryBot", навіть мережевий зв'язок ".
Читайте також: Все, що вам потрібно знати про зловмисне програмне забезпечення VPNFilter
Після зараження цільового пристрою MysteryBot негайно починає діяти та виконувати вбудовані команди. Дослідники безпеки ThreatFabric змогли отримати список усіх можливих результатів, які включають:
CallToNumber - Зателефонуйте на вказаний номер телефону із зараженого пристрою.
Контакти - Витягує список контактів та інформацію (номер телефону та ім'я контактів).
De_Crypt - Цей код відсутній, у розробці (можливо, розшифровує дані / скасовує програму-вимога).
Переадресація - переадресовує вхідні дзвінки пристрою на інший номер.
GetAlls - Скорочено для GetAllSms, копіює всі SMS-повідомлення з пристрою.
GetMail - У розробці немає коду (можливо, крадіжка електронних листів із зараженого пристрою).
Кейлог - Копіює та зберігає натискання клавіш, що виконуються на зараженому пристрої.
ResetCallForwarding - Зупиняє переадресацію вхідних дзвінків.
Блокування екрана - Шифрує всі файли у Зовнішньому каталозі зберігання та видаляє всю контактну інформацію на пристрої.
Send_spam - Надсилає дане SMS-повідомлення кожному контакту в списку контактів пристрою.
Smsmnd - Замінює за замовчуванням менеджер SMS на пристрої, призначений для перехоплення SMS.
StartApp - У розробці немає коду (можливо, дозволяє віддалено запускати програму на зараженому пристрої)
USSD - Викликає номер USSD із зараженого пристрою.
dell_sms - Видаляє всі SMS-повідомлення на пристрої.
send_sms - Надсилає задане SMS-повідомлення на певний номер.
Це не це. У ньому є додаткові модулі зараження, як і вбудоване програм-вимагачів, яке називається “Mystery_L0cker”. Повідомте нам більше про це.
Потрібно прочитати: Шкідливе програмне забезпечення, яке загрожує витоком ваших фотографій друзям - LeakerLocker
Як і будь-яке інше програм-вимагачів, Mystery_L0cker також націлює та шифрує дані користувача. Для чого спочатку він сканує локальні файли та систему та виявляє розширення типу файлів, до яких легше отримати доступ. Потім ці файли поміщаються у ZIP-файл. Після цього, використовуючи складні алгоритми та метод шифрування, механізм вірусів генерує пароль під час виконання.
Коли цей процес завершиться, на пристрої Android буде створено сповіщення, яке показує їх шантажний вміст. А при натисканні це також може перенаправляти користувачів на порнографічний вміст. За словами хакерів, користувачі можуть відновити свої дані, якщо надішлють їх поштою.
Творці MysteryBot Android Trojan все ще працюють над цим, і наразі він не повністю активний на всіх пристроях Android. Усім користувачам Android рекомендується вжити необхідних запобіжних заходів. Також не встановлюйте файл або файл .apk, згадані нижче:
Adobe Flash Player (install.apps) 334f1efd0b347d54a418d1724d51f8451b7d0bebbd05f648383d05c00726a7ae
Якщо ви вважаєте це корисним, повідомте нас про це. Ви також можете залишити свій відгук у розділі коментарів нижче.