Специалистами компании ThreatFabric, специализирующейся на исследованиях в области кибербезопасности, обнаружен опасный вирус кейлоггер, заражающий устройства под управлением Android 7 Nougat и Android 8 Oreo. Новый троян получил название MysteryBot и по роду своей деятельности очень похож на на вирус LokiBot, ворующий конфиденциальные данный для доступа к онлайн банкингу. В отличие от LokiBot, который специализировался на версиях Android ниже Nougat, новый зловред в основном нацелен на последние версии этой операционной системы.
Как происходит заражение
MysteryBot не оригинален, и как большинство вирусов для Android попадает на устройство под видом обновления для мобильного Flash Player, рекламируясь на вредоносных сайтах. При скачивании и установки поддельного Flash Player, троян активизируется и начинает записывать действия пользователя при авторизации в платежных сервисах и банковских приложениях.
Кроме того, MysteryBot имеет функцию накладывания поддельных страниц с полями ввода данных поверх приложений и безопасных сайтов, похищая, таким образом, введенные авторизационные данные.
Несмотря на то, что последние версии Android имеют продвинутую защиту от вредоносного кода, включая защиту от наложения поддельных страниц, они все-таки подвержены вирусной атаке этого трояна, т.к. он пользуется ошибкой в системных службах PACKAGE_USAGE_STATS и AccessibilityService для получения необходимых допусков для своей шпионской деятельности.