Un nuevo malware que apunta a aplicaciones bancarias ha llegado a dispositivos Android. Nombra MysteryBot, el malware contiene un troyano bancario, registrador de pulsaciones y ransomware, lo que lo hace más dañino que cualquier otro malware reciente conocido. El malware es similar a LokiBot, que causó estragos el año pasado recurriendo al ransomware cuando intentaba eliminarlo.
MysterBot se dirige a dispositivos que se ejecutan en Android 7 u 8. De acuerdo con ThreatFabric, quien publicó por primera vez una publicación de blog, informó que MysteryBot y el banquero de Android LokiBot "ambos funcionan en el mismo servidor de C & C".
Lo que hace que el malware sea letal es su capacidad excepcional para tomar el control total de los dispositivos de los usuarios. Además de tener funcionalidades de troyanos bancarios genéricos de Android, MysteryBot exhibe funcionalidades superpuestas, keylogging y ransomware extraordinarias.
El malware trabaja en una nueva técnica de superposición que explota un permiso de servicio conocido como ESTADO DE USO DEL PAQUETE, que le permite acceder a otros permisos sin el consentimiento del usuario.
También se encontró un keylogger en el malware. Según los investigadores, el keylogger no usa ninguna de las técnicas previamente conocidas. En cambio, "esta técnica calcula la ubicación de cada fila y coloca una Vista sobre cada tecla".
Sin embargo, el keylogger todavía está en la etapa de desarrollo ya que no hay un método para enviar datos al servidor C2.
El componente ransomware de MysteryBot encripta todos los archivos individualmente en el directorio de almacenamiento externo, incluidos todos los subdirectorios, después de los cuales se eliminan los archivos originales.
"Cuando se completa el proceso de encriptación, se saluda al usuario con un diálogo que acusa a la víctima de haber visto material pornográfico. Para recuperar la contraseña y poder descifrar los archivos, el usuario debe enviar un correo electrónico al actor a su dirección de correo electrónico: "
321/5000
0 Comentarios