Everpedia, Wikimedia Commons
Si bien los dispositivos móviles Android funcionan con una versión segura bloqueada del kernel de Linux, los expertos en seguridad ahora han encontrado otro troyano que afecta al sistema operativo ampliamente popular. Llamado MysteryBot por los expertos que trabajan con ThreatFabric, parece atacar dispositivos con Android 7 y 8.
De alguna manera, MysteryBot es muy parecido al malware anterior LokiBot. Los investigadores de ThreatFabric analizaron el código de ambos troyanos y encontraron que es más que probable que exista un vínculo entre los creadores de ambos. Fueron tan lejos como para decir que MysteryBot se basa en el código de LokiBot.
Incluso envía datos al mismo servidor C&C que una vez se usó en una campaña de LokiBot, lo que insinuaría que fueron desarrollados e implementados por las mismas organizaciones.
Si este es realmente el caso, entonces podría estar relacionado con el hecho de que el código fuente de LokiBot se filtró a la web hace unos meses. Esto ayudó a los expertos en seguridad que pudieron desarrollar algunas mitigaciones para ello.
MysteryBot tiene algunos rasgos que realmente lo distinguen de otros tipos de malware bancario de Android. Por ejemplo, puede mostrar de manera confiable pantallas superpuestas que imitan las páginas de inicio de sesión de aplicaciones legítimas. Los ingenieros de Google desarrollaron funciones de seguridad que impedían que el software malicioso mostrara pantallas superpuestas en dispositivos con Android 7 y 8 de forma coherente.
Como resultado, otras infecciones de malware bancario mostraban las pantallas superpuestas en momentos extraños, ya que no podían saber cuándo los usuarios estaban mirando aplicaciones en su pantalla. MysteryBot abusa del permiso de acceso de uso que normalmente está diseñado para mostrar estadísticas sobre una aplicación. De forma indirecta, filtra detalles sobre qué aplicación se muestra actualmente en la parte frontal de la interfaz.
No está claro qué influencia tiene MysteryBot en los dispositivos Lollipop y Marshmallow, lo que debería generar una investigación interesante en las próximas semanas, ya que estos dispositivos no necesariamente tienen todas estas actualizaciones de seguridad.
Al apuntar a más de 100 aplicaciones populares, incluidas muchas que están fuera del mundo de la banca electrónica móvil, MysteryBot podría obtener datos de inicio de sesión incluso de usuarios comprometidos que no usan tanto sus teléfonos inteligentes. Sin embargo, no parece estar en circulación actual.
Además, cada vez que los usuarios presionan una tecla en el teclado táctil, MysteryBot registra la ubicación del gesto táctil y luego intenta triangular la posición de la tecla virtual que escribieron basándose en conjeturas.
Si bien esto está a años luz de los registradores de teclas de Android basados en capturas de pantalla anteriores, los expertos en seguridad ya están trabajando arduamente para desarrollar una mitigación.
Etiquetas Seguridad de Android
