Everpedia, Wikimedia Commons
Kui Androidi mobiilseadmete toiteallikaks on Linuxi kerneli turvaline lukustatud versioon, on turvaeksperdid nüüd leidnud veel ühe Trooja, mis mõjutab laialt levinud operatsioonisüsteemi. ThreatFabricuga töötavate ekspertide poolt nimetatud MysteryBotiks näib, et see ründab seadmeid, milles töötab Android 7 ja 8.
Mõnes mõttes sarnaneb MysteryBot varasema LokiBoti pahavaraga. ThreatFabricu teadlased analüüsisid mõlema troojalase koodi ja leidsid, et mõlema looja vahel on enam kui tõenäoline seos. Nad jõudsid nii kaugele, et ütlesid, et MysteryBot põhineb LokiBoti koodil.
See saadab isegi andmeid samasse C&C serverisse, mida kunagi kasutati LokiBoti kampaanias, mis vihjab sellele, et need töötasid välja ja juurutasid samad organisatsioonid.
Kui see tõepoolest nii on, siis võib see olla seotud asjaoluga, et LokiBoti lähtekood sattus mõni kuu tagasi veebi. See aitas turvaeksperte, kes suutsid selle jaoks välja töötada mõned leevendused.
MysteryBotil on mõned omadused, mis tõepoolest eristavad seda teist tüüpi Androidi panganduse pahavara seast. Näiteks võib see usaldusväärselt näidata ülekatte ekraane, mis jäljendavad õigustatud rakenduste sisselogimislehti. Google'i insenerid töötasid välja turvafunktsioonid, mis takistasid pahavaral Android 7 ja 8 seadmetel ühtlaselt ülekatte kuvamist.
Selle tulemusena näitasid muud panganduse pahavara nakkused ülekatte ekraane veidratel aegadel, kuna nad ei osanud öelda, kui kasutajad nende ekraanil olevaid rakendusi vaatasid. MysteryBot kuritarvitab kasutusõigust, mis on tavaliselt loodud rakenduse statistika kuvamiseks. See lekitab kaudselt üksikasju selle kohta, millist rakendust liidese esiküljel parajasti kuvatakse.
Pole selge, millist mõju avaldab MysteryBot Lollipopi ja Marshmallowi seadmetele, mis peaks lähinädalatel huvitavaid uuringuid tegema, kuna nendel seadmetel pole tingimata kõiki neid turvavärskendusi.
Sihtides üle 100 populaarse rakenduse, sealhulgas paljud, mis asuvad väljaspool mobiilse e-panganduse maailma, suudaks MysteryBot hankida sisselogimisandmed isegi ohustatud kasutajatelt, kes tegelikult oma nutitelefoni nii palju ei kasuta. Tundub, et see pole praegu käibel.
Lisaks salvestab MysteryBot alati, kui kasutajad puutepõhisel klaviatuuril klahvi vajutavad, puutežesti asukohta ja proovivad seejärel vastuste põhjal tippida virtuaalse klahvi asukoha kolmnurkseks.
Ehkki see on valgusaastate kaugusel eelmistest ekraanipõhistest Android-klahvilogeritest, on turvaeksperdid leevendamise väljatöötamisel juba kõvasti tööd teinud.
Sildid Androidi turvalisus
