MysteryBot Kötü Amaçlı Yazılım Yeni Numaralarla Android 7 ve 8 Cihazları Hedefliyor

Everpedia, Wikimedia Commons

Android mobil cihazlar Linux çekirdeğinin güvenli bir şekilde kilitlenmiş sürümüyle desteklenirken, güvenlik uzmanları artık yaygın olarak kullanılan işletim sistemini etkileyen başka bir Truva atı buldular. ThreatFabric ile çalışan uzmanlar tarafından MysteryBot olarak adlandırılan, Android 7 ve 8 çalıştıran cihazlara saldırıyor gibi görünüyor.

Bazı yönlerden MysteryBot, önceki LokiBot kötü amaçlı yazılımına çok benzer. ThreatFabric'in araştırmacıları, her iki Truva atının kodunu analiz etti ve her ikisinin de yaratıcıları arasında büyük olasılıkla bir bağlantı olduğunu buldu. MysteryBot'un LokiBot koduna dayandığını söyleyecek kadar ileri gittiler.

Hatta bir zamanlar LokiBot kampanyasında kullanılan aynı C&C sunucusuna veri gönderiyor, bu da onların aynı kuruluşlar tarafından geliştirilip uygulandığını ima ediyor.

Eğer durum gerçekten böyleyse, LokiBot’un kaynak kodunun birkaç ay önce web’e sızdırılmış olmasıyla ilgili olabilir. Bu, bunun için bazı hafifletmeler geliştirebilen güvenlik uzmanlarına yardım etti.

MysteryBot, onu diğer Android bankacılık kötü amaçlı yazılım türlerinden gerçekten ayıran birkaç özelliğe sahiptir. Örneğin, yasal uygulamaların oturum açma sayfalarını taklit eden bindirme ekranlarını güvenilir bir şekilde gösterebilir. Google'ın mühendisleri, kötü amaçlı yazılımların Android 7 ve 8 cihazlarda tutarlı bir şekilde yer paylaşımlı ekranlar göstermesini engelleyen güvenlik özellikleri geliştirdi.

Sonuç olarak, diğer bankacılık kötü amaçlı yazılım enfeksiyonları, kullanıcıların ekranlarındaki uygulamalara ne zaman baktıklarını anlayamadıkları için, bindirme ekranlarını tuhaf zamanlarda gösterdi. MysteryBot, normalde bir uygulama hakkındaki istatistikleri göstermek için tasarlanmış olan Kullanım Erişimi iznini kötüye kullanır. Arayüzün ön tarafında hangi uygulamanın o anda görüntülendiğiyle ilgili ayrıntıları dolaylı olarak sızdırıyor.

MysteryBot'un Lollipop ve Marshmallow cihazları üzerinde ne gibi bir etkisi olduğu belirsizdir, bu da önümüzdeki haftalarda bu cihazların tüm bu güvenlik güncellemelerine sahip olması gerekmediği için bazı ilginç araştırmalara yol açacaktır.

MysteryBot, mobil e-bankacılık dünyasının dışında bulunanlar da dahil olmak üzere 100'den fazla popüler uygulamayı hedefleyerek, akıllı telefonlarını gerçekten çok fazla kullanmayan, güvenliği ihlal edilmiş kullanıcıların bile giriş bilgilerini toplayabilir. Ancak, mevcut dolaşımda görünmüyor.

Ek olarak, kullanıcılar dokunmatik klavyede bir tuşa bastığında, MysteryBot dokunma hareketinin konumunu kaydeder ve ardından tahminlere dayalı olarak yazdıkları sanal tuşun konumunu üçgenlemeye çalışır.

Bu, önceki ekran görüntüsü tabanlı Android keylogger'lardan ışık yılı ileride olsa da, güvenlik uzmanları zaten bir azaltma geliştirmek için sıkı bir şekilde çalışıyor.