Android裝置新型惡意軟體，融合銀行木馬、鍵盤記錄器和移動勒索軟體

網路犯罪分子目前正在開發一種針對Android裝置的新型惡意軟體，它融合了銀行木馬、鍵盤記錄器和移動勒索軟體的功能。

根據來自ThreatFabric的安全研究人員稱，這個惡意軟體名為MysteryBot，是一個正在開發中的新威脅。

MysteryBot已連線到LokiBot

ThreatFabric表示，MysteryBot似乎與知名度相當高的LokiBotAndroid銀行木馬有關。ThreatFabric的一位發言人透過電子郵件告訴BleepingComputer：根據我們對兩種木馬程式碼的分析，發現LokiBot和MysteryBot的建立者之間的確存在聯絡，這是有道理的，MysteryBot顯然是基於LokiBot機器人程式碼開發的。

此外，根據該公司昨天釋出的報告，MysteryBot惡意軟體將資料傳送到LokiBot的活動中，使用的是相同命令和控制（C＆C）伺服器，清楚的表明了它們由同一個人或組織進行控制和開發。

LokiBot小組開發MysteryBot的原因尚不清楚，但可能與幾個月前LokiBot原始碼線上洩露有關。

一些網路犯罪團伙已經跳過了LokiBot的程式碼正在使用MysteryBot。而LokiBot的工作人員可能會試圖想出一個新的惡意軟體家族，他們可以在地下論壇上進行銷售，就像他們對原始LokiBot所做的一樣。

ThretFabric表示，

據我們所知，目前MysteryBot並未在地下論壇上刊登廣告，可能是因為它仍在開發中。

MysteryBot可以在Android7和Android8上執行

ThreatFabric表示，與LokiBot相比，MysteryBot在許多方面都是獨一無二的，與其他Android銀行業惡意軟體（如ExoBot2.5，AnubisII，DiseaseBot或CryEye）也有所不同。

MysteryBot似乎是第一款能夠在Android7和Android8上顯示“覆蓋螢幕”的銀行惡意軟體。

銀行惡意軟體使用覆蓋螢幕功能，在合法應用程式上顯示虛假登入頁面。由於Google工程師在Android7和8中新增了安全功能，因此沒有任何一個惡意軟體能夠在這些作業系統版本上進行覆蓋螢幕。

問題在於之前的惡意軟體系統在錯誤的時間顯示了覆蓋螢幕，因為他們無法檢測到使用者什麼時候開啟應用程式，所以就會錯誤的計算應該顯示覆蓋圖的時間。

MysteryBot銀行模組濫用訪問許可權

根據ThreatFabric的說法，MysteryBot團隊似乎找到了一種可靠的方式來定時覆蓋螢幕，以便在使用者開啟並將應用程式放到前臺的適當時間顯示。

他們透過濫用AndroidPACKAGE_USAGE_STATS許可權（通常稱為使用訪問許可權，一種顯示應用程式使用情況的Android作業系統功能），並且間接洩漏當前使用應用程式的詳細資訊。

目前，MysteryBotin-dev版本定製的覆蓋螢幕用於一系列移動電子銀行，包括澳大利亞、奧地利、德國、西班牙、法國、克羅埃西亞、波蘭和羅馬尼亞，以及IM應用。如：Facebook、WhatsApp和Viber（在ThreatFabric報告中全面列出）。

該惡意軟體總共針對100多個應用程式，研究人員期望MysteryBot在未來幾周內加強其螢幕覆蓋庫。

一個非常獨特的鍵盤記錄器元件

該惡意軟體還帶有一個鍵盤記錄器元件，與Android市場上的其他鍵盤記錄器相比，該元件也是獨一無二的。

研究人員表示，現在使用者不需要在螢幕上按下觸控鍵盤上的按鍵來確定輸入了什麼，而是使用記錄觸控手勢的位置。

然而這個新的鍵盤記錄器元件，可以嘗試根據虛擬鍵盤上的觸控手勢的螢幕位置，來猜測使用者按下了什麼鍵。

ThreatFabric表示，這個元件目前還不能工作，因為當前版本不會對記錄的資料做任何操作，比如將其傳送到遠端伺服器。

MysteryBot包含一個錯誤的勒索軟體模組

最後，很重要的一點是，就像LokiBot一樣，MysteryBot也包含一個勒索軟體模組。ThreatFabric表示，這個勒索軟體模組允許騙子鎖定儲存在外部儲存裝置上的所有使用者檔案。

勒索軟體不會對檔案進行加密，而是將每個檔案鎖定在單獨的受密碼保護的ZIP存檔中。

研究人員表示，勒索軟體模組相當耗費程式碼。首先，ZIP存檔密碼只有8個字元，這意味著它可能非常容易被暴力破解。

其次，該密碼和使用者自定義生成的受感染裝置ID被髮送到名為Myster_L0cker的遠端控制皮膚（下圖）。

問題是分配給每個受害者的ID只能是0到9999之間的數字，並且在傳送到遠端控制皮膚時，沒有驗證預先存在的ID。

當具有相同ID的新受害者與MysteryBot後端同步時，控制皮膚上舊的受害者密碼可輕鬆覆蓋。

MysteryBot偽裝成Android的FlashPlayer

ThreatFabric告訴BleepingComputer，目前的MysteryBot版本已被偽裝成Android的FlashPlayer應用程式。

一般來說，消費者必須意識到，在各種應用程式商店內外找到的所有FlashPlayer（更新）應用程式都是惡意軟體。

許多網站仍然要求訪問者支援Flash（這在Android上已經執行很多年了），導致Android使用者試圖想找到一個應用程式，因此最後他們可能會安裝惡意軟體。

雖然MysteryBot目前尚未流通，但ThreatFabric說，LokiBot之前透過簡訊垃圾郵件（smishing）和電子郵件（phising）連結到Android應用程式。使用者應該先載入這個惡意應用程式，然後授予應用程式訪問Android輔助功能服務的許可權，惡意軟體可能會造成各種損害。可以肯定的說，根據與LokiBot現有連線，MysteryBot可以以同樣的方式進行分配。

不要授予應用程式訪問“Accessibility”的許可權

專家建議使用者避免從Play商店以外安裝應用程式，並且不要授予應用程式對Accessibility服務的訪問許可權，因為在絕大多數情況下，這些服務主要由惡意軟體使用。

在目前的形式下，MysteryBot仍然需要訪問Accessibility服務，來使用其鍵盤記錄器和勒索軟體元件。

該惡意軟體還使用Accessibility服務訪問許可權，在不提示使用者的情況下即可訪問PACKAGE_USAGE_STATS功能。這意味著使用者在被提示允許應用程式訪問高度特權的Accessibility服務時，仍然可以在感染之前發現MysteryBot。

如何規避MysteryBot惡意軟體的攻擊？

市面上針對移動應用的攻擊層出不窮，由於安卓應用程式主要是基於Java語言開發，打包編譯後行成的DEX檔案很容易被反編譯，因此安卓應用是惡意軟體的重災區。針對上述狀況，幾維安全推出安卓加密方案，可對DEX檔案、SO檔案以及動態攻擊進行防護，保護企業核心資產。

更有幾維安全獨創的移動端VM加密方案，可對安卓SO檔案、iOS應用、MacOS應用等進行程式碼混淆、字串加密等安全防護。KiwiVM虛擬機器是基於Clang編譯器擴充套件實現的VM虛擬機器編譯器, 在編譯時直接對指定的函式［程式碼］實施虛擬化處理。憑藉自定義CPU指令的特性，程式碼一旦加密，永不解密，其加密過程不可逆，攻擊者無法還原始碼、分析核心業務邏輯。可幫助中大型企業在通訊、支付、演算法、核心技術等模組進行定製加密，避免因安全問題造成的經濟損失。

原文連結：http://www.apkbus.com/blog-906362-78086.html