giovedì 14 giugno 2018

MysteryBot: trojan bancario+keylogger+ransomware, tutto in uno.


E' attualmente in diffusione una nuova famiglia di malware che colpisce soltanto i dispositivi Android: le caratteristiche lo rendono un malware molto molto pericoloso dato che funziona sia come trojan bancario, keylogger e ransomware. Si chiama MysteryBot ed è ancora in fase di sviluppo, così almeno affermano i ricercatori di sicurezza che l'hanno individuato in the wild. 

Parentele con Lokibot
Ad una prima analisi del codice, MysteryBot appare collegato al famoso (e famigerato) trojan bancario per Android LokiBot. Il codice dei due malware infatti presenta molte similitudini. Oltretutto è emerso che MysteryBot invia i dati allo stesso server Command&Control usato in una delle tante campagne di distribuzione di Lokibot: un suggerimento piuttosto chiaro rispetto alla comune paternità di questi due malware. Non è facile dire se il gruppo dietro questi malware abbia deciso di sostituire Lokibot per precise ragioni: un indizio è il fatto che qualche mese fa il codice di LokiBot "è sfuggito", venendo pubblicato in rete. Evento che ha determinato una nuova impennata nella diffusione di Lokibot, per quanto in una miriade di versioni lievemente modificate e corrette. Al contrario MysteryBot per adesso non appare pubblicizzato/segnalato in alcun forum nel dark web.

MysteryBot e Android
Le analisi indicano che MysteryBot può operare su Android 7 e 8, con una particolarità: è per adesso l'unico malware con la capacità di sovrapporre alle schermate originali schermate fake (spesso si tratta di false pagine di login mostrate sopra le schermate di app legittime, finalizzate al furto di credenziali di accesso). Le funzioni di sicurezza introdotte da Google in Android 7 e 8 erano infatti fino ad ora riuscite a impedire ad ogni malware di mostrare schermate sovrapposte a quelle originali. La differenza era che le precedenti famiglie di malware mostravano le schermate sovrapposte con un "tempismo sbagliato" non potendo rilevare quando realmente l'utente sta visualizzando quell'app sullo schermo. 

Ecco la novità...
MysteryBot ha trovato una via affidabile per "sincronizzare" con l'utente le schermate fake da sovrapporre alle app legittime: in sunto MysteryBot è molto temibile perchè mostra le schermate fake proprio al momento giusto, cosa che complica moltissimo la possibilità che l'utente si accorga che la schermata di login visualizzata è falsa. Ciò avviene perchè questo malware abusa della permissione PACKAGE_USAGE_STATS (comunemente chiamata Usage Access Permission), una funzione di Android che mostra statistiche di utilizzo riguardo un app e che, indirettamente, si "lascia scappare" dettagli riguardo l'uso corrente delle app in uso.

Alcune app che richiedono l' Usage Access permission

L'attuale versione include una grande quantità si schermate sovrapponibili, personalizzate cioè per imitare e schermate di app originali di molte dellòe principali app di mobile banking di banche australiane, austriache, tedesche, spagnole, francesi, italiane, corate, polacche e rumene, ma anche di social come Facebook, WhatsApp e Viber. Il malware punta alle 100 e oltre app imitabili: i ricercatori ritengono che il grosso degli sforzi dei cyber criminali sia ora rivolto in questa direzione. 

La componente keylogger
Oltre a tutto ciò il malware vanta anche una componente keylogger, anch'essa peculiare se confrontata con altre componenti keylogger rintracciabili nel mercato per Android. I ricercatori infatti confermano che MysteryBot non esegue screenshot al momento in cui l'utente digita qualcosa sul touch screen, come fanno tutti i keylogger, ma al contrario registra la posizione del tocco. In sunto questa componente cerca di indovinare quale tasto ha premuto l'utente in base al "luogo" sullo schermo dove è stato digitato quel carattere, come se l'utente stesse usando una tastiera virtuale. I ricercatori sospettano che il sistema sia ancora in via di test, dato che i dati raccolti dalla componente keylogger non vengono, per adesso, inviati al server C&C. 

Il modulo ransomware
Arriviamo all'ultimo componente: quello ransomware. Questo modulo consente agli attaccanti di "rinchiudere" tutti i file dell'utente in un dispositivo di storage esterno. Il ransomware quindi non sovrascrive i file, ma li blocca rinchiudendoli in un archivio .zip protetto da una password ovviamente sconosciuta all'utente. Per ora la questione è risolvibile facilmente: la password di compone di solo 8 caratteri ed è abbastanza facile quindi, con un attacco di brute force, riuscire a "forzare" la cassaforte in cui sono bloccati i file. E' verosimile però ritenere che a breve non sarà più così facile. La password e l'ID random generato per identificare ogni singola vittima sono inviate ad un pannello di controllo remoto chiamato Myster_Locker.

Il pannello di controllo remoto per le vittime della componente ransomware

Il travestimento usato? FlashPlayer per Android
I ricercatori spiegano anche che la versione di MysteryBo individuata si travisava da app Flash Player per Android. Come viene diffuso? Ancora non è certo: gli esperti però spiegano che la maggior parte die Trojan Bancari viene diffuso tramite SMS o messaggi di phishing, oppure tramite installazione di app compromesse con il downloader del malware stesso. 

Nessun commento:

Posta un commento