Android設備新型惡意軟件，融合銀行木馬、鍵盤記錄器和移動勒索軟件等功能

網絡犯罪分子目前正在開發一種針對Android設備的新型惡意軟件，它融合了銀行木馬、鍵盤記錄器和移動勒索軟件的功能。

根據來自ThreatFabric的安全研究人員稱，這個惡意軟件名爲MysteryBot，是一個正在開發中的新威脅。

MysteryBot已鏈接到LokiBot

ThreatFabric表示，MysteryBot彷佛與知名度至關高的LokiBotAndroid銀行木馬有關。ThreatFabric的一位發言人經過電子郵件告訴BleepingComputer：根據咱們對兩種木馬代碼的分析，發現LokiBot和MysteryBot的建立者之間的確存在聯繫，這是有道理的，MysteryBot顯然是基於LokiBot機器人代碼開發的。

此外，根據該公司昨天發佈的報告，MysteryBot惡意軟件將數據發送到LokiBot的活動中，使用的是相同命令和控制（C＆C）服務器，清楚的代表了它們由同一我的或組織進行控制和開發。

LokiBot小組開發MysteryBot的緣由尚不清楚，但可能與幾個月前LokiBot源代碼在線泄露有關。

一些網絡犯罪團伙已經跳過了LokiBot的代碼正在使用MysteryBot。而LokiBot的工做人員可能會試圖想出一個新的惡意軟件家族，他們能夠在地下論壇上進行銷售，就像他們對原始LokiBot所作的同樣。

ThretFabric表示，

據咱們所知，目前MysteryBot並未在地下論壇上刊登廣告，多是由於它仍在開發中。

MysteryBot能夠在Android7和Android8上運行

ThreatFabric表示，與LokiBot相比，MysteryBot在許多方面都是獨一無二的，與其餘Android銀行業惡意軟件（如ExoBot2.5，AnubisII，DiseaseBot或CryEye）也有所不一樣。

MysteryBot彷佛是第一款可以在Android7和Android8上顯示「覆蓋屏幕」的銀行惡意軟件。

銀行惡意軟件使用覆蓋屏幕功能，在合法應用程序上顯示虛假登陸頁面。因爲Google工程師在Android7和8中添加了安全功能，所以沒有任何一個惡意軟件可以在這些操做系統版本上進行覆蓋屏幕。

問題在於以前的惡意軟件系統在錯誤的時間顯示了覆蓋屏幕，由於他們沒法檢測到用戶何時打開應用程序，因此就會錯誤的計算應該顯示覆蓋圖的時間。

MysteryBot銀行模塊濫用訪問權限

根據ThreatFabric的說法，MysteryBot團隊彷佛找到了一種可靠的方式來定時覆蓋屏幕，以便在用戶打開並將應用程序放到前臺的適當時間顯示。

他們經過濫用AndroidPACKAGE_USAGE_STATS權限（一般稱爲使用訪問權限，一種顯示應用程序使用狀況的Android操做系統功能），而且間接泄漏當前使用應用程序的詳細信息。

目前，MysteryBotin-dev版本定製的覆蓋屏幕用於一系列移動電子銀行，包括澳大利亞、奧地利、德國、西班牙、法國、克羅地亞、波蘭和羅馬尼亞，以及IM應用。如：Facebook、WhatsApp和Viber（在ThreatFabric報告中全面列出）。

該惡意軟件總共針對100多個應用程序，研究人員指望MysteryBot在將來幾周內增強其屏幕覆蓋庫。

一個很是獨特的鍵盤記錄器組件

該惡意軟件還帶有一個鍵盤記錄器組件，與Android市場上的其餘鍵盤記錄器相比，該組件也是獨一無二的。

研究人員表示，如今用戶不須要在屏幕上按下觸摸鍵盤上的按鍵來肯定輸入了什麼，而是使用記錄觸摸手勢的位置。

然而這個新的鍵盤記錄器組件，能夠嘗試根據虛擬鍵盤上的觸摸手勢的屏幕位置，來猜想用戶按下了什麼鍵。

ThreatFabric表示，這個組件目前還不能工做，由於當前版本不會對記錄的數據作任何操做，好比將其發送到遠程服務器。

MysteryBot包含一個錯誤的勒索軟件模塊

最後，很重要的一點是，就像LokiBot同樣，MysteryBot也包含一個勒索軟件模塊。ThreatFabric表示，這個勒索軟件模塊容許騙子鎖定存儲在外部存儲設備上的全部用戶文件。

勒索軟件不會對文件進行加密，而是將每一個文件鎖定在單獨的受密碼保護的ZIP存檔中。

研究人員表示，勒索軟件模塊至關耗費代碼。首先，ZIP存檔密碼只有8個字符，這意味着它可能很是容易被暴力破解。

其次，該密碼和用戶自定義生成的受感染設備ID被髮送到名爲Myster_L0cker的遠程控制面板（下圖）。

問題是分配給每一個受害者的ID只能是0到9999之間的數字，而且在發送到遠程控制面板時，沒有驗證預先存在的ID。

當具備相同ID的新受害者與MysteryBot後端同步時，控制面板上舊的受害者密碼可輕鬆覆蓋。

MysteryBot假裝成Android的FlashPlayer

ThreatFabric告訴BleepingComputer，目前的MysteryBot版本已被假裝成Android的FlashPlayer應用程序。

通常來講，消費者必須意識到，在各類應用程序商店內外找到的全部FlashPlayer（更新）應用程序都是惡意軟件。

許多網站仍然要求訪問者支持Flash（這在Android上已經執行不少年了），致使Android用戶試圖想找到一個應用程序，所以最後他們可能會安裝惡意軟件。

雖然MysteryBot目前還沒有流通，但ThreatFabric說，LokiBot以前經過短信垃圾郵件（smishing）和電子郵件（phising）連接到Android應用程序。用戶應該先載入這個惡意應用程序，而後授予應用程序訪問Android輔助功能服務的權限，惡意軟件可能會形成各類損害。能夠確定的說，根據與LokiBot現有鏈接，MysteryBot能夠以一樣的方式進行分配。

不要授予應用程序訪問「Accessibility」的權限

專家建議用戶避免從Play商店之外安裝應用程序，而且不要授予應用程序對Accessibility服務的訪問權限，由於在絕大多數狀況下，這些服務主要由惡意軟件使用。

在目前的形式下，MysteryBot仍然須要訪問Accessibility服務，來使用其鍵盤記錄器和勒索軟件組件。

該惡意軟件還使用Accessibility服務訪問權限，在不提示用戶的狀況下便可訪問PACKAGE_USAGE_STATS功能。這意味着用戶在被提示容許應用程序訪問高度特權的Accessibility服務時，仍然能夠在感染以前發現MysteryBot。

如何規避MysteryBot惡意軟件的攻擊？

市面上針對移動應用的攻擊層出不窮，因爲安卓應用程序主要是基於Java語言開發，打包編譯後行成的DEX文件很容易被反編譯，所以安卓應用是惡意軟件的重災區。針對上述情況，幾維安全推出安卓加密方案，可對DEX文件、SO文件以及動態攻擊進行防禦，保護企業核心資產。

更有幾維安全首創的移動端VM加密方案，可對安卓SO文件、iOS應用、MacOS應用等進行代碼混淆、字符串加密等安全防禦。KiwiVM虛擬機是基於Clang編譯器擴展實現的VM虛擬機編譯器, 在編譯時直接對指定的函數［代碼］實施虛擬化處理。憑藉自定義CPU指令的特性，代碼一旦加密，永不解密，其加密過程不可逆，攻擊者沒法還原代碼、分析核心業務邏輯。可幫助中大型企業在通訊、支付、算法、核心技術等模塊進行定製加密，避免因安全問題形成的經濟損失。