هشدار نسبت به بدافزار بانکداری موبایل
گروه دانش و فن|
مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانهای، نسبت به ظهور بدافزار جدید بانکداری موبایلی اندروید هشدار داد که امکان دریافت لیست اطلاعات تماس و ارسال پیامک به مخاطبان قربانی را دارد.
محققان اخیرا یک تروجان بانکداری جدید کشف کردند که نسخههای ۷ و ۸ اندروید را هدف قرار میدهد و از کارگزار فرمان و کنترل (C & C) مشابه با تروجانهای LokiBot و Threat Fabric استفاده میکند.
این بدافزار، خود را به عنوان یک برنامه فلش پلیر (Adobe Flash Player) تحمیل میکند و از قربانی میخواهد تا «مجوز دسترسی استفاده» که قابلیتهای نامطلوبی را فراهم میکند، به آن اعطا کند. پس از آن تلاش میکند تا نام بستههای برنامهها را در پیشزمینه نظارت کند. این تروجان جدید که MysteryBot نامیده میشود، با استفاده از همپوشانی، بیش از ۱۰۰ برنامه از جمله بانکداری تلفن همراه و برنامههای اجتماعی را هدف قرار میدهد.
مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانهیی در این باره اعلام کرد: این بدافزار جدید علاوه بر ویژگیهای عمومی تروجانهای اندرویدی، دارای قابلیتهای تماس با شماره تلفن داده شده، دریافت لیست اطلاعات تماس، تماسهای انتقالیافته، کپی تمام پیامکها، واردکردن ضروبات کلید، رمزگذاری فایلها در ذخیرهسازی خارجی، حذف همه مخاطبین، ارسال پیامک به تمام مخاطبین، تغییر برنامه پیشفرض پیامک، تماس با یک شماره USSD، حذف تمام پیامکها و ارسال پیامک است.
طبق نظریه محققان، این تروجان جدید یا یک بهروزرسانی از تروجان LokiBot یا یک خانواده جدید بدافزار از همان فعالان تهدید است. این تهدید جدید سایبری، چند تفاوت نسبت به LokiBot دارد. این تفاوتها شامل نام، دستورات بهبودیافته و ارتباطات شبکه اصلاحشده است.
علاوه بر این قابلیتها، این تروجان از یک تکنولوژی جدید بهمنظور اطمینان از موفقیت در دستگاههای اندروید ۷ و ۸ استفاده میکند؛ تکنیک جدیدی که MysteryBot از آن استفاده میکند، مجوز «Android PACKAGE_USAGE_STATS» (مجوز استفاده مجدد) را برای ازبین بردن محدودیتها دستکاری میکند و همچنین از «Accessibility Service» برای دریافت مجوزها سوءاستفاده میکند.
MysteryBot همچنین از روش جدیدی برای واردکردن ضروبات کلید استفاده میکند. این بدافزار، محل کلیدهای روی صفحه را محاسبه میکند (درنظر میگیرد که هر کلید، دارای یک موقعیت مکانی روی صفحه است) و مختصات دیگری را روی هر یک از آنها قرار میدهد (عرض و ارتفاع صفر پیکسل) که به او اجازه میدهد تا کلید فشار داده شده را ثبت کند.
بهنظر میرسد که کد این بدافزار همچنان در حال توسعه است، زیرا هنوز قابلیت ارسال ضروبات کلید وارد شده به کارگزار C & C را ندارد.
MysteryBot همچنین شامل قابلیتهای قفلکننده/باجافزاری است که توسط داشبورد جداگانهیی از این تروجان مدیریت میشوند. این تروجان میتواند هر فایل را بهطور جداگانه در پوشه ذخیرهسازی خارجی رمزگذاری کند و سپس فایلهای اصلی را حذف کند.
این بدافزار هر فایل را در بایگانی ZIP محافظت شده با گذرواژه قرار میدهد، اما از گذرواژه مشابه برای همه بایگانیها استفاده میکند (این کلید در طول زمان اجرا تولید میشود). هنگام تکمیل رمزگذاری، این بدافزار، یک گفتوگو را نمایش میدهد که ادعا میکند قربانی، موارد خطرناکی را مشاهده کرده است و از او میخواهد تا از طریق پست الکترونیکی، با مهاجم تماس بگیرد.
محققان امنیتی دریافتند که گذرواژه این بدافزار فقط ۸ کاراکتر طول دارد و از حروف الفبای لاتین (حروف بزرگ و کوچک) همراه با عدد استفاده میکند. علاوهبراین، شناسه اختصاص دادهشده به هر قربانی، تنها میتواند یک عدد بین ۰ و ۹۹۹۹ باشد؛ به این معنی که همان شناسه میتواند در واقع به چندین قربانی اختصاص داده شود.
متخصصان فناوری اطلاعات هنگام تجزیه و تحلیل ویژگیهای باجافزاری MysteryBot، چندین خطا را شناسایی کردند. از آنجا که گذرواژه این بدافزار فقط ۸ کاراکتر طول دارد بهراحتی میتوان آن را با حمله جستوجوی فراگیر به دست آورد. همچنین، این احتمال وجود دارد که شناسه منحصربهفرد دادهشده به قربانی را بتوان با قربانی جدید با همان شناسه رونویسی کرد. بنابراین، قربانیان قدیم قادر نخواهند بود اطلاعات خود را بازیابی کنند.
بهنظر میرسد Mysterybot یک گام جدید در توسعه نرمافزارهای مخرب بانکداری برای اندروید باشد که هم ویژگیهای مخرب Lokibot و هم ویژگیهای باجافزاری و دریافت ضروبات کلید را دارد.