Lug 022018
 

Si chiama MysteryBot, ed il nuovo trojan bancario che minaccia i dispositivi mobili Android. A quanto rilevano i ricercatori della società di sicurezza olandese ThreatFabric (ex SfyLabs), MysteryBot presenta numerosi aspetti già conosciuti con LokiBot, un virus simile, che presenta in parte lo stesso codice e condivide il medesimo server C&C. Il nuovo malware presenta infatti le funzionalità di base del predecessore, si legge sul sito del Cert, Computer Emergency Response Team, “anche se le tecniche impiegate sono state aggiornate per garantirne la compatibilità con le versioni più recenti del sistema operativo Android (7 Nougat e 8 Oreo)”.

Ma che si tratti di una evoluzione di LokiBot, o di un nuovo malware creato dagli stessi autori, al momento MysteryBot appare in fase di sviluppo e non è ancora molto diffuso.

Una falsa app Adobe Flash Player

Per quanto riguarda l’overlay, la tecnica che consente al virus di mostrare all’utente false schermate di login di un gran numero di app bancarie, gli autori di MysteryBot hanno trovato il modo di “sincronizzare la comparsa di queste schermate con l’istante in cui l’utente lancia l’app bersaglio e la porta in primo piano”, riferisce Adnkronos. Una volta attivo sul dispositivo colpito, “MysteryBot si presenta come una falsa app Adobe Flash Player: in figura viene mostrato il malware elencato tra le app che richiedono l’accesso alle statistiche di utilizzo. Una volta che l’utente concede inconsapevolmente tale autorizzazione, il malware è in grado di svolgere le sue attività”.

MysteryBot agisce su più di 100 applicazioni bancarie

MysteryBot è in grado di falsificare più di 100 applicazioni bancarie di diversi Paesi, tra cui Australia, Austria, Germania, Spagna, Francia, Croazia, Polonia e Romania, oltre ad alcune app molto diffuse come Facebook e WhatsApp. Al momento, sottolineano gli esperti, “non risultano coinvolte banche italiane”.

Per quanto la funzionalità di keylogger MysteryBot cerca di indovinare i tasti premuti sulla base della dimensione e della posizione sullo schermo della tastiera virtuale utilizzata. Per fortuna questa funzionalità non è ancora pienamente sviluppata, in quanto “i dati raccolti non vengono usati in alcun modo, né inviati ai server”, si legge sul sito.

Un ricatto virtuale

Inoltre, MysteryBot include una funzionalità di ransomware. “Il trojan tenta di bloccare l’accesso ai file dell’utente memorizzati nello storage esterno, archiviandoli individualmente in file ZIP protetti con password e cancellando gli originali. La password è la stessa per tutti gli archivi e viene generata dinamicamente dal malware durante l’esecuzione”. Una volta terminata la cifratura, viene presentata una schermata di dialogo in cui l’utente viene accusato di aver visionato materiale pedopornografico, e per ottenere la password di accesso ai file cifrati la persona colpita è invitata a contattare gli autori a uno specifico indirizzo email

ShareShare on FacebookShare on Google+Tweet about this on TwitterShare on LinkedIn

Sorry, the comment form is closed at this time.