Исследователи в области кибербезопасности компании ThreatFabric узнали о распространении кейлоггера для Android под названием MysteryBot. По своей природе вредонос крайне близок к другому представителю вида — LokiBot, — но направлен в основном на инфицирование устройств под управлением Android Nougat и Oreo.
Как и большинство вредоносных программ, MysteryBot распространяется через рекламные объявления под видом мобильной версии Flash Player. Попадая на устройство жертвы, вредонос тщательно прячется, после чего начинает накапливать данные о действиях пользователя, делая скриншот каждый раз, когда происходит нажатие на экран.
Таким образом MysteryBot отслеживает случаи авторизации в банковских приложениях и платежных сервисах. Впоследствии бот, сопоставляя координаты нажатий с символами на клавиатуре, может получать доступ к банковским счетам жертвы и всем ее сбережениям. Но данный вид воровства учетных данных является далеко не единственным.
Чаще всего MysteryBot прибегает к наложению фишинговых страниц с полями авторизации поверх безопасных приложений или веб-сайтов. Этот метод значительно проще, поскольку неподготовленный пользователь самостоятельно вводит логин и пароль в открывшуюся форму, подтверждая вход одноразовым кодом из SMS.
Несмотря на защиту от наложения фишинговых страниц, устройства на базе Android Nougat и Oreo все-таки подвержены риску инфицирования. Как удалось выяснить исследователям, MysteryBot использует сбой в службах PACKAGE_USAGE_STATS и AccessibilityService, получая все необходимые разрешения на осуществление деструктивных действий.
Обсудить эту и другие новости Android можно в нашем Telegram-чате.