کمیته رکن چهارم – محققان Cyble از ترفند جدید بازیگران مخرب برای انتشار بدافزار بانکی اندرویدی رونمایی کردند.
تروجان بانکی اندرویدی که Itaú Unibanco، ارائهدهنده بزرگ خدمات مالی برزیل با ۵۵ میلیون مشتری را هدف گرفته، ترفند جدید و غیر معمولی را برای انتشار در دستگاهها، مورد استفاده قرار داده است.
عاملان این تروجان صفحهای را طراحی کردهاند که شباهت زیادی به فروشگاه رسمی گوگلپلی دارد. قربانیان با دیدن این صفحه تصور میکنند که از منبع قابل اعتماد و معتبری در حال نصب اپلیکیشن مدنظر خود هستند.
این بدافزار تظاهر می کند که اپلیکیشن بانکی رسمی Itaú Unibanco است. بدافزار نام برده از آیکون های مشابه اپلیکیشن اصلی استفاده می کند تا کاربران از اصالت آن اطمینان حاصل کنند.
در صورتی که کاربر بر روی دکمه نصب کلیک کند، از آنها خواسته میشود تا APK را دانلود کنند. این میتواند اولین نشانه کلاهبرداری باشد. اپلیکیشنهای فروشگاه گوگلپلی از طریق رابط کاربری فروشگاه نصب میشوند و هیچگاه از کاربر خواسته نمیشود به صورت دستی اقدام به دانلود و نصب برنامهها کنند.
طبق بررسی محققان Cyble، این بدافزار تلاش میکند تا از فروشگاه اصلی و واقعی گوگلپلی، اپلیکیشن اصلی Itaú را باز کنند. در صورت موفقیتآمیز بودن این کار، عاملان این بدافزار با تغییر فیلد دادههای ورودی، تراکنشهای جعلی را بر روی اپلیکیشن واقعی آن اجرا میکنند.
این اپلیکیشن در طول نصب، هیچگونه مجوز خطرناکی را درخواست نمیکند. این موضوع میتواند به شناسایی نشدن آنها کمک کند. اما در سوی دیگر این اپلیکیشن در تلاش است تا به سرویسهای دسترسی دستگاه دسترسی پیدا کند. این تمام آن چیزی است که یک بدافزار موبایلی به آن نیاز دارد تا سیستمهای امنیتی اندروید را دور بزنند.
وبسایتهایی که در جهت انتشار اپلیکیشنهای مخرب مورد استفاده قرار میگرفتند در حال حاضر به حالت آفلاین درآمدهاند.
منبع : سایبربان
