Everpedia, Wikimedia Commons
Alors que les appareils mobiles Android sont alimentés par une version verrouillée sécurisée du noyau Linux, les experts en sécurité ont maintenant trouvé un autre cheval de Troie qui affecte le système d'exploitation très populaire. Appelé MysteryBot par des experts travaillant avec ThreatFabric, il semble attaquer les appareils fonctionnant sous Android 7 et 8.
À certains égards, MysteryBot ressemble beaucoup à l'ancien malware LokiBot. Les chercheurs de ThreatFabric ont analysé le code des deux chevaux de Troie et ont constaté qu'il existe plus que probablement un lien entre les créateurs des deux. Ils sont allés jusqu'à dire que MysteryBot est basé sur le code de LokiBot.
Il envoie même des données au même serveur C&C qui était autrefois utilisé dans une campagne LokiBot, ce qui insinuerait qu'ils ont été développés et déployés par les mêmes organisations.
Si tel est effectivement le cas, cela pourrait être lié au fait que le code source de LokiBot a été divulgué sur le Web il y a quelques mois. Cela a aidé des experts en sécurité qui ont pu développer certaines atténuations pour cela.
MysteryBot a quelques caractéristiques qui le distinguent vraiment des autres types de logiciels malveillants bancaires Android. Par exemple, il peut afficher de manière fiable des écrans de superposition qui imitent les pages de connexion d'applications légitimes. Les ingénieurs de Google ont développé des fonctionnalités de sécurité qui empêchaient les logiciels malveillants d'afficher des écrans de superposition sur les appareils Android 7 et 8 de manière cohérente.
En conséquence, d'autres infections par des logiciels malveillants bancaires ont montré les écrans de superposition à des moments impairs, car ils ne pouvaient pas dire quand les utilisateurs regardaient des applications sur leur écran. MysteryBot abuse de l'autorisation d'accès d'utilisation qui est normalement conçue pour afficher des statistiques sur une application. Il divulgue indirectement des détails sur l'application actuellement affichée sur le devant de l'interface.
On ne sait pas quelle influence MysteryBot a sur les appareils Lollipop et Marshmallow, ce qui devrait donner lieu à des recherches intéressantes dans les semaines à venir, car ces appareils ne disposent pas nécessairement de toutes ces mises à jour de sécurité.
En ciblant plus de 100 applications populaires, dont beaucoup sont en dehors du monde de l'e-banking mobile, MysteryBot pourrait être en mesure de glaner les informations de connexion des utilisateurs même compromis qui n'utilisent pas vraiment leurs smartphones. Cependant, il ne semble pas être en circulation actuelle.
De plus, chaque fois que les utilisateurs appuient sur une touche du clavier tactile, MysteryBot enregistre l'emplacement du geste tactile, puis essaie de trianguler la position de la touche virtuelle qu'ils ont tapée en fonction de suppositions.
Bien que cela ait des années-lumière d'avance sur les précédents keyloggers Android basés sur des captures d'écran, les experts en sécurité travaillent déjà d'arrache-pied pour développer une atténuation.
Mots clés Sécurité Android
![[FIX] Le fichier n'a pas pu s'ouvrir en mode protégé](https://jf-balio.pt/img/how-tos/02/file-couldn-t-open-protected-view.jpeg)
