به گزارش الفباخبر ، چهار بدافزار مختلف تروجان بانکی که بهعنوان اپلیکیشنهای ارزهای دیجیتال، خوانندگان کد QR، اسکنرهای پیدیاف، مانیتورهای تناسباندام و غیره پنهانشده بودند، در Play Store شناسایی شدند.
محققان امنیتی بر این عقیدهاند که این کمپین کار خود را با نمایش یک برنامه ایمن آغاز میکند و پس از نصب این برنامه ، اپراتورهای بدافزار، پیامهایی را مبنی بر دانلود بهروزرسانیها و نصب ویژگیهای اضافه، به کاربران ارسال میکنند. همه برنامههای آلوده برای آپدیت شدن نیاز به این دارند که از منابع شخص ثالث دانلود شوند. بااینحال، ازآنجاییکه کاربر به برنامه موردنظر اعتماد دارد، هیچ شک و تردیدی در او ایجاد نمیشود. درواقع در VirusTotal، غالب این برنامههای مخرب توسط چک کنندهها شناسایی نشدند.
علاوه بر این، این برنامهها برای آلوده کردن دستگاه، از مکانیسمهای دیگری نیز استفاده میکنند نظیر: بهروزرسانی دستی مخرب توسط اپراتورها پس از شناسایی موقعیت جغرافیایی گوشی اندروید یا بهروزرسانی تدریجی گوشی هوشمند.
بیش از 300.000 کاربر قربانی شدند
گزارشها حاکی از اینند، برنامههای مخرب برای شناسایی نشدن، پیامهای تبلیغاتی نشان میدهند. چهار بدافزار موردبحث بهراحتی میتوانند Play Protect یا همان مکانیسمهای شناسایی پلی استور را دور زده و گوشیهای اندروید را هدف قرار دهند.
علاوه بر اینها موضوع نگرانکننده این است که این برنامهها بیش از 300.000 بار توسط کاربران اندروید دانلود شدهاند. محققان دریافتهاند که بیش از 200.000 کاربر اندروید این اپلیکیشنها را با آناتسا نصب کردهاند. 50.000 کاربر یک اپلیکیشن اسکن کد QR را دانلود کردند و صفحه دانلود آن در گوگل پلی بهدفعات بازبینی شده است. اپهای بدافزاری ناآشنا هم 95000 بار دانلود شدهاند.
کارشناسان تأکید می کنند عاملین پشت پرده این حملات مراقباند که برنامههایشان قانونی و مفید به نظر برسد. نقدهای مثبت زیادی نسبت به این برنامهها وجود دارد و بهدفعات بازبینیشدهاند. تعدد نصبها و نظرات مثبت، کاربران اندروید را به نصب این برنامه تشویق و ترغیب میکند.
لازم به ذکر است این برنامهها واقعاً دارای عملکرد مورد ادعا هستند و پس از نصب بسیار عادی رفتار کرده و بیشتر کاربران معتقدند که آنها وجاهت قانونی دارند . چنانچه کاربر اندروید هستید از دانلود برنامههای غیرضروری از گوگل پلی یا بازارهای شخص ثالث خودداری کنید. علاوه بر این، از آنتی بدافزار قابل اعتماد استفاده کنید، دستگاه خود را بهطور منظم اسکن کنید و سیستمعامل اندروید را بهروز نگه دارید.
محققان امنیت سایبری ThreatFabric در گزارش خود اصطلاح « فریب بهشتیان » را عنوان نموده و هشدار دادند که کاربران تلفنهای هوشمند مراقب تروجان بانکی که در گوگل پلی پنهانشده و اقدام به سرقت رمز عبور میکند باشند. بر اساس تجزیه وتحلیل این شرکت، این کمپین بدافزاری, به بیش از 300.000 کاربر صدمه زده و برای جذب قربانیان از برنامههای تبلیغاتی مخرب و ایمیلهای فیشینگ بهره میبرد و کاربران را به دانلود برنامههای مخرب ترغیب میکند.
چهار تروجان بانکی که در داخل برنامههای بیضرر پنهان شدهاند
محققان ThreatFabric تأکید کردند که این تروجانها با نام برنامههای ارزهای دیجیتال، خوانندگان کد QR، اسکنرهای پیدیاف، مانیتورهای تناسباندام و غیره خود را مخفی نموده و مطبق تجزیه وتحلیل کارشناسان امنیت سایبری، این برنامهها حاوی چهار نوع بدافزار مختلف هستند که خطرناکترین آنها، بدافزار آناتسا « Anatsa» است.
شایان ذکر است که آناتسا قادر به سرقت اطلاعات کاربری، رمز عبور و آدرس ایمیل است. بدافزار Anatsa برای ضبط چیزهایی که روی صفحه کاربر ظاهر میشود از لاگین سطح دسترسی استفاده میکند و مهاجمان از یک کی لاگر برای ضبط اطلاعات داخل دستگاه استفاده میکنند.
بدافزارهای بدنام دیگری که محققان Threatfabric کشف کردند یک تروجان بانکی به نام Alien بود. این بدافزار میتواند مکانیسم احراز هویت دومرحلهای را دور بزند. علاوه بر این، Hydra و] Ermac ویدئو[ نیز همخانوادههای آن بدافزار بودند که توسط کارشناسان ThreatFabri شناسایی شدند.
محققان خاطرنشان کردند که از Gymdrop برای دانلود یا نصب دیتا پک های مخرب استفاده میشود .
خبرنگار: موناسیدی
انتهای پیام