Nov zlonamerni program, ki preži na vaš denar

Zlonamerni program MysteryBot velja za enega od najbolj škodljivih programov za operacijski sistem Android do zdaj, saj deluje na kar tri načine: kot zapisovalec vtipkanega (Keylogger), izsiljevalec (Ransomware) in trojanec, ki prek ponarejenih zaslonov aplikacij mobilnega bančništva (in tudi družbenih omrežij) krade pristne uporabniške podatke za dostop.

Na seznamu bank, katerih mobilne aplikacije je MysteryBot že napadel, so med drugimi tudi britanska banka HSBC, ki je sedma največja na svetu, ter indijske banke ICICI (Industrial Credit and Investment Corporation), IDBI, HDFC in State Bank of India (SBI).

Pazite se lažnih datotek in nadgradenj!

Strokovnjaki računalniške varnosti ugotavljajo, da je MysteryBot podoben zlonamernemu programu LokiBot, ki je razsajal lani. Predvsem tako, da se je ob poskusu odstranitve prelevil v izsiljevalca, ki je zaklenil vse podatke na mobilni napravi in za odklep zahteval odkupnino.

ThreatFabric, ki je prvi poročal o novem nepridipravu, še ugotavlja, da se tako MysteryBot kot Lokibot izvajata na isti strežniški infrastrukturi, le da MysteryBot zmore še kaj več: med drugim tudi krasti e-pošto in poganjati programe na napadeni napravi.

MysteryBot sicer napada mobilne naprave s sedmo ali osmo različico operacijskega sistema Android. Širi se prek lažne datoteke apk (tudi sicer ne pretirano varnega) medijskega predvajalnika Adobe Flash Player ali njegove lažne nadgradnje.

Nepridipravi so že večkrat izkoristili lažne nadgradnje medijskega predvajalnika Adobe Flash Player za razširitev svoje zlonamerne programske kode. Foto: ESET

Vdira na več načinov

MysteryBot je z vidika programerske dovršenosti v marsičem izjemen. Med drugim izkorišča dovoljenje (PACKAGE USAGE STATS), ki mu omogoča pridobivanje preostalih dovoljenj za svoja nečedna dejanja brez uporabniškega soglasja.

Pri beleženju vtipkane vsebine (Keylogger) uporablja povsem nov način zasledovanja, ki ga do zdaj še niso opazili nikjer drugje. Na srečo ta način še ni dokončan in zato zabeleženih podatkov zlonamernež še ne pošilja napadalcem.

Izsiljevalski gradnik MysteryBot zakodira vsako datoteko posebej na zunanjo shrambo, nato pa izvirne datoteke na žrtvini mobilni napravi izbriše. Žrtev okrca, češ da so mu datoteke zakodirali, ker je gledal pornografske vsebine.

Ker večina trojancev, ki merijo na mobilno bančništvo, prihaja iz virov, ki niso vredni zaupanja, je prva (in obenem zelo učinkovita) črta obrambe dosledno nameščanje programov le iz preverjenih virov, kot je Googlova uradna tržnica z aplikacijami Google Play. Foto: Thinkstock

Izogibajte se nepreverjenih virov, ne bodite pretirano radodarni z dovoljenji

Tolažba ob tem vsestranskem zlonamernežu je, da vse njegove funkcije še niso povsem dodelane in da (vsaj za zdaj) še ni zelo razširjen.

Ker večina trojancev, ki merijo na mobilno bančništvo, prihaja iz virov, ki niso vredni zaupanja, je prva (in obenem zelo učinkovita) črta obrambe dosledno nameščanje programov le iz preverjenih virov, kot je Googlova uradna tržnica z aplikacijami Google Play.

Tudi takrat bodite zelo pozorni, če aplikacija zahteva več dovoljenj, kot ji smiselno pripada. Le zakaj neki bi, na primer, ozadje za telefon potrebovalo dostop do podatkov o stikih v vašem imeniku ali za upravljanje klicnih funkcij?