Scoperto un nuovo trojan bancario per i dispositivi mobili Android, battezzato MysteryBot. Secondo quanto rilevato dai ricercatori della società di sicurezza olandese ThreatFabric (ex SfyLabs), la nuova minaccia presenta numerosi aspetti già conosciuti con LokiBot. Gli esperti hanno riscontrato che, in parte, è basato su uno stesso codice e condivide con LokiBot il server C&C, facendo ipotizzare che si tratti di una sua evoluzione o di un nuovo malware creato dagli stessi autori. Al momento, MysteryBot appare in fase di sviluppo e non ancora molto diffuso. Questo malware, si legge sul sito del 'Cert - Computer Emergency Response Team', ha le funzionalità di base del predecessore, "anche se le tecniche impiegate sono state aggiornate per garantirne la compatibilità con le versioni più recenti del sistema operativo Android (7 Nougat e 8 Oreo)". Per quanto riguarda l'overlay - tecnica che consente al virus di mostrare all'utente false schermate di login di un gran numero di App bancarie - gli autori di MysteryBot hanno trovato il modo di "sincronizzare la comparsa di queste schermate con l'istante in cui l'utente lancia l'App bersaglio e la porta in primo piano".
Una volta attivo sul dispositivo colpito, "MysteryBot si presenta come una falsa App Adobe Flash Player: in figura viene mostrato il malware elencato tra le App che richiedono l'accesso alle statistiche di utilizzo. Una volta che l'utente concede inconsapevolmente tale autorizzazione, il malware è in grado di svolgere le sue attività". Secondo quanto si legge, "è in grado di falsificare più di 100 applicazioni bancarie" di diversi Paesi - tra cui Australia, Austria, Germania, Spagna, Francia, Croazia, Polonia e Romania - "oltre ad alcune App di ampia diffusione quali Facebook, WhatsApp e Viber". Al momento, sottolineano gli esperti, "non risultano coinvolte banche italiane".
Per quanto la funzionalità di keylogger, mutuata da LokiBot, "MysteryBot intercetta la posizione dei tocchi e delle gesture dell'utente, cercando di indovinare i tasti premuti sulla base della dimensione e della posizione sullo schermo della tastiera virtuale utilizzata". Ma, si legge, "questa funzionalità non è ancora pienamente sviluppata in quanto i dati raccolti non vengono usati in alcun modo, né inviati ai server".
Inoltre, MysteryBot include una funzionalità di ransomware. "Il trojan tenta di bloccare l'accesso ai file dell'utente memorizzati nello storage esterno, archiviandoli individualmente in file ZIP protetti con password e cancellando gli originali. La password è la stessa per tutti gli archivi e viene generata dinamicamente dal malware durante l'esecuzione". Una volta terminata la cifratura, viene presentata una schermata di dialogo in cui l'utente viene accusato di aver visionato materiale pedopornografico e per ottenere la password di accesso ai file cifrati la persona colpita è invitata a contattare gli autori ad uno specifico indirizzo email.
Come sempre, sottolineano gli esperti, "si raccomanda alle vittime di questo tipo di malware di non pagare MAI le somme richieste dai cybercriminali per non alimentare questo tipo di attività illecite e anche perché non vi è alcuna garanzia di riottenere l'accesso ai propri file".
Per maggiorni informazioni, ricorda il CERT, "il post originale sul blog di ThreatFabric contiene un'analisi dettagliata di MysteryBot, l’elenco completo delle App colpite da questo malware e svariati indicatori di compromissione (IoC). Il tasso di rilevazione di MysteryBot da parte dei più diffusi antivirus risulta abbastanza elevato". Infine, "per evitare di cadere vittime di questo tipo di malware, si raccomanda di non installare mai App da repository alternativi o direttamente mediante file APK.
