MysteryBot Android Malware combina keylogger, ransomware y troyano bancario


Un nuevo malware que esta dirigido a dispositivos Android. MysteryBot, el malware que contiene un troyano bancario, registrador de pulsaciones y ransomware, lo cual lo hace más dañino que cualquier otro malware recientemente conocido. El malware es similar a LokiBot, que causó estragos el año pasado recurriendo al ransomware cuando intentaba eliminarlo.

MysterBot se dirige a dispositivos que se ejecutan en Android 7 u 8. De acuerdo con ThreatFabric, quien informó por primera vez una publicación de blog, informó que MysteryBot y el banquero de Android LokiBot "ambos funcionan en el mismo servidor de C & C".

Lo que hace que el malware sea letal es su capacidad excepcional para tomar el control total de los dispositivos de los usuarios. Además de tener funcionalidades de troyanos bancarios genéricos de Android, MysteryBot exhibe funcionalidades superpuestas, keylogging y ransomware extraordinarias.

El malware trabaja en una nueva técnica de superposición que explota un permiso de servicio conocido como ESTADO DE USO DEL PAQUETE, que le permite acceder a otros permisos sin el consentimiento del usuario.
MysteryBot

También se encontró un keylogger en el malware. Según los investigadores, el keylogger no usa ninguna de las técnicas previamente conocidas. En cambio, "esta técnica calcula la ubicación de cada fila y coloca una Vista sobre cada tecla".

Sin embargo, el keylogger todavía está en la etapa de desarrollo ya que no hay un método para enviar datos al servidor C2.


MysteryBot Keylogger
El componente ransomware de MysteryBot encripta todos los archivos individualmente en el directorio de almacenamiento externo, incluidos todos los subdirectorios, después de los cuales se eliminan los archivos originales.

"Cuando se completa el proceso de encriptación, se saluda al usuario con un diálogo que acusa a la víctima de haber visto material pornográfico. Para recuperar la contraseña y poder descifrar los archivos, el usuario debe enviar un correo electrónico al actor a su dirección de correo electrónico: "

MysteryBot Ransomware
Sin embargo, MysteryBot todavía está en desarrollo y aún no se ha extendido, lo que es un alivio. Se recomienda no instalar aplicaciones de Android de otras fuentes, excepto Google Play Store, para mantener su dispositivo a salvo. ThreatFabric agregó, "la mayoría de los troyanos bancarios de Android parecen ser distribuidos a través de smishing / phishing y carga lateral".