Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
18/06/2018
MysteryBot, el nou troià todo en uno per a Android
Descoberta una nova família de programari maliciós per a Android, MysteryBot, el que sembla ser una evolució de LockyBot.
El programari ha sigut detectat per investigadors de ThreatFabric durant una de les seues anàlisis rutinàries de la família Lokibot, de la qual hereta certs comportaments.
Les novetats que porta aquest programari és la combinació de diverses vies d'atac que passem a desgranar a continuació:
Registre de pulsacions: el programari guarda les pulsacions que realitza l'usuari en la pantalla, encara que a més té algunes novetats: també detecta si el telèfon està en horitzontal o vertical, dades que utilitza per a calcular què s'ha premut en el telèfon tenint en compte les dimensions del dispositiu. Té mòduls de les famílies CryEye i Anubis i, segons el codi analitzat per ThreatFabric, sembla estar encara en desenvolupament.
Programari de rescat: aquest comportament resulta ja familiar en el programari maliciós mòbil, i tracta a xifrar el dispositiu per a posteriorment demanar un rescat monetari a canvi del desxifratge. En aquest cas la mostra no xifra dades, sinó que les comprimeix en un arxiu zip amb contrasenya, la qual actualment no té molta robustesa (només 8 caràcters).
Atacs de superposició: la característica més nova d'aquest programari, no tant per allò que fa, sinó per la seua execució. Aquest comportament permetia que, quan un usuari obri una aplicació legítima, el programari aprofitarà per a mostrar una interfície superposada, enganyant l'usuari de forma poc sospitosa. No obstant això, després de la introducció d’Android 7 i 8 ja no era possible realitzar atacs de superposició, la qual cosa ha portat als creadors de programari maliciós a buscar noves tècniques. Aquesta família abusa del permís 'PACKAGE_USAGE_STATS', que juntament amb l'ús de la classe 'AccessibilityService i un càlcul correcte de temps li permet realitzar atacs de superposició amb èxit.
Poden continuar llegint aquesta notícia en el següent enllaç.