رفتن به محتوای اصلی
یکشنبه ۳۰ دی ۱۳۹۷
.

دسته بندی اخبار

دسته بندی عمومی

کشف بدافزار خطرناک برنامه‌های بانکی و کیف پول‌های الکترونیکی

کشف بدافزار خطرناک برنامه‌های بانکی و کیف پول‌های الکترونیکی

اخیرا یک بدافزار اندرویدی جدید کشف شده است که دارای قابلیت‌های تروجان بانکی، انتقال تماس، ضبط صدا، keylogging و فعالیت‌های باج‌افزاری است. این بدافزار برنامه‌های بانکی محبوب از قبیل HFC، ICICI، SBI، Axis Bank و سایر کیف پول‌های الکترونیکی را مورد هدف قرار می‌دهد.

برای انجام حمله موفقیت‌آمیز، اپراتور بدافزار نیاز به تعامل کاربر دارد، اپراتور کاربر را وادار می‌کند تا در یک چرخه پیوسته قرار گیرد تا دسترسی AccessibilityService را به بدافزار اعطا کند. با داشتن دسترسی AccessibilityService بدافزار می‌تواند از هر دسترسی دیگری بدون اینکه کاربر متوجه شود، سوء استفاده کند.

هنگامی که برنامه هدف اجرا شود، بدافزار فرم ورود فیشینگ را نمایش می‌دهد و اطلاعات محرمانه مانند نام کاربری و رمز عبور را از کاربر درخواست می‌کند. در این نوع از حملات مهاجم با نمایش یک پنجره روی یک برنامه، اطلاعاتی را به کاربر نمایش یا از او دریافت می‌کند.

فایل APK اصلی این بدافزار به شدت مبهم‌سازی شده است و رشته‌های آن رمزگذاری شده‌اند. همچنین داده‌های بیهوده و بی استفاده نیز به برنامه اضافه شده است تا مهندسی معکوس آن مشکل شود. بدافزار فعال بودن play protection را بررسی می‌کند تا در صورت فعال بودن پیامی با محتوای "سیستم بدرستی کار نمی‌کند، لطفا Google Play Protect را غیرفعال کنید" به کاربر نمایش دهد و از کاربر می‌خواهد تا آنرا غیرفعال کند. همچنین، پژوهشگران دریافتند که در صورتی که کاربر بخواهد برنامه مخرب را حذف کند، با پیام خطای سیستمی ۴۹۵ مواجه خواهد شد.

عامل تهدید این بدافزار از طریق حساب‌های توییتر با سرور C&C ارتباط برقرار می‌کند، مهاجم آدرس سرور C&C را به صورت رمزگذاری شده در توییتر قرار می‌دهد و بدافزار آنرا رمزگشایی کرده و از آن استفاده می‌کند.

در صورتی که بدافزار دستور cryptokey را دریافت کند، فایل‌های موجود در دستگاه قربانی را رمزگذاری می‌کند و پسوند .AnubisCrypt را به آنها اضافه می‌کند. پس فرایند رمزگذاری، پیغام باج‌گیری در یک Window WebView به قربانی نمایش داده می‌شود.

۴۹