エバーペディア、ウィキメディアコモンズ
AndroidモバイルデバイスはLinuxカーネルの安全なロックダウンバージョンを搭載していますが、セキュリティの専門家は、広く普及しているオペレーティングシステムに影響を与える別のトロイの木馬を発見しました。 ThreatFabricを使用する専門家によってMysteryBotと呼ばれ、Android7および8を実行しているデバイスを攻撃しているようです。
いくつかの点で、MysteryBotは以前のLokiBotマルウェアによく似ています。 ThreatFabricの研究者は、両方のトロイの木馬のコードを分析し、両方の作成者の間にリンクがある可能性が高いことを発見しました。彼らは、MysteryBotはLokiBotのコードに基づいているとまで言っていました。
また、LokiBotキャンペーンでかつて使用されたのと同じC&Cサーバーにデータを送信します。これは、同じ組織によって開発および展開されたことをほのめかします。
これが実際に当てはまる場合は、LokiBotのソースコードが数か月前にWebに漏洩したという事実に関連している可能性があります。これは、それに対するいくつかの緩和策を開発することができたセキュリティ専門家を支援しました。
MysteryBotには、他の種類のAndroidバンキングマルウェアとは一線を画すいくつかの特徴があります。たとえば、正規のアプリのログインページを模倣したオーバーレイ画面を確実に表示できます。 Googleのエンジニアは、マルウェアがAndroid7および8デバイスで一貫した方法でオーバーレイ画面を表示しないようにするセキュリティ機能を開発しました。
その結果、他の銀行のマルウェア感染では、ユーザーが画面上のアプリをいつ見ているのかわからなかったため、オーバーレイ画面が表示されることがありました。 MysteryBotは、通常はアプリに関する統計情報を表示するように設計されているUsageAccess権限を悪用します。インターフェースの前面に現在表示されているアプリの詳細が間接的にリークされます。
MysteryBotがLollipopおよびMarshmallowデバイスにどのような影響を与えるかは不明です。これらのデバイスには必ずしもこれらのセキュリティ更新プログラムがすべて含まれているとは限らないため、今後数週間で興味深い調査が行われるはずです。
MysteryBotは、モバイル電子バンキングの世界以外の多くのアプリを含む100以上の人気のあるアプリをターゲットにすることで、スマートフォンをあまり使用していない侵害されたユーザーからもログインの詳細を収集できる可能性があります。ただし、現在流通しているようには見えません。
さらに、ユーザーがタッチベースのキーボードのキーを押すたびに、MysteryBotはタッチジェスチャの場所を記録し、推測に基づいて入力した仮想キーの位置を三角測量しようとします。
これは以前のスクリーンショットベースのAndroidキーロガーよりも光年進んでいますが、セキュリティの専門家はすでに緩和策の開発に取り組んでいます。
タグ Androidのセキュリティ
