Sebuah malware baru yang menargetkan aplikasi perbankan telah menghantam perangkat Android. Namanya MysteryBot, malware ini memuat trojan perbankan, keylogger, dan ransomware, membuatnya lebih berbahaya daripada malware terbaru lainnya yang kita diketahui. Malware ini mirip dengan LokiBot, yang membuat geger tahun lalu yang beralih ke ransomware ketika pengguna mencoba menghapusnya.

MysterBot menargetkan perangkat yang berjalan di Android 7 atau 8. Menurut ThreatFabric, yang pertama kali mempublikasikan posting blog , melaporkan bahwa MysteryBot dan lokiBot Android banker “keduanya berjalan di server C & C yang sama.”

Apa yang membuat malware itu mematikan adalah kemampuannya yang luar biasa dalammengambil kendali penuh atas perangkat pengguna. Selain memiliki fungsi trojan perbankan Android generik, MysteryBot memiliki fungsi overlay, keylogging, dan fungsionalitas ransomware.

Perangkat lunak perusak berfungsi pada teknik overlay baru yang mengeksploitasi service permission yang dikenal sebagai STATAGE USAGE STATS, yang memungkinkannya untuk mendapatkan akses ke izin lain tanpa persetujuan pengguna.

Sebuah keylogger juga ditemukan di malware tersebut. Menurut para peneliti, keylogger tidak menggunakan teknik yang dikenal sebelumnya. Sebagai gantinya, “teknik ini menghitung lokasi untuk setiap baris dan menempatkan View di atas setiap key.”

Namun, keylogger masih dalam tahap pengembangan karena tidak ada metode untuk mengirim data ke server C2.

Komponen ransomware MysteryBot mengenkripsi semua file secara individual di direktori penyimpanan eksternal, termasuk setiap subdirektori, setelah file asli dihapus.

“Ketika proses enkripsi selesai, pengguna disambut dengan dialog yang menyalahkan korban telah menonton materi pornografi. Hal ini untuk mengambil kata sandi dan dapat mendekripsi file yang diinstruksikan pengguna untuk mengirim e-mail kepada penyerang di alamat e-mailnya: ”

Namun, MysteryBot masih dalam pengembangan dan belum menyebar. Disarankan untuk tidak menginstal aplikasi Android dari sumber lain kecuali Google Play Store untuk menjaga perangkat Anda tetap aman. ThreatFabric menambahkan, “sebagian besar Trojan perbankan Android tampaknya didistribusikan melalui smishing / phising & side-loading.”