بدافزار بانکی به‎روزرسانی‌شده‌ اندروید صدها کاربر را تهدید‌می‌کند

کمیته رکن چهارم – محققان امنیتی دکتر وب هشدار داده‌اند که یک بدافزار بانکی اندروید که دو سال پیش کشف شده‌بود،‌ پس از به‎روز شدن با قابلیت‌های جدید باج‌افزاری به یک تهدید جهانی در ماه‌های گذشته تبدیل شده‌است.

به گزارش کمیته رکن چهارم،بدافزار قدیمی Android.SmsSpy.۸۸.origin که ابتدا در سال ۲۰۱۴ کشف‌شد و در آن هنگام عمدتاً به کاربران در روسیه و کشورهای CIS حمله‌می‌کرد و از طریق ارسال پیام‌های کوتاه هرزنامه که شامل یک نشانی اینترنتی بود و کاربران را به وب‌گاه‌های کلاهبرداری می‌کشاند، گسترش‌می‌یافت؛ اخیراً به‌خاطر قابلیت‌های متعدد و همچنین به این دلیل که خدماتی در انجمن‌های زیرزمینی برای آن ارائه‌می‌شود، محبوبیت یافته‌است.

محققان دکتر وب می‌گویند که این بدافزار در اصل برای این طراحی شده‌بود تا پیامک‌های حاوی گذرواژه یک‎بار‌مصرف بانکی را شنود و مخفیانه پیام ارسال کرده و تماس‌های تلفنی برقرار‌کند؛ اما در‌نهایت نویسندگان این بدافزار آن را با قابلیت‌های سرقت اطلاعات کارت‌های بانکی به‌روزرسانی‌کرده‌اند. این عملیات از طریق هم‎پوشانی فرم‎های ورودی در نرم‌افزار گوگل‎پلی و یا از طریق نرم‌افزارهای بانکی اینترنتی که به‌وسیله بانک‌های مشهور روسی ارائه می‌شود، صورت گرفته‌است.

محققان از انتهای سال ۲۰۱۵ یک نسخه پیچیده را از یک برنامه‎ مشاهده‌کردند که به کاربران در سراسر جهان حمله‌می‌کند. محققان شرکت دکتر وب ادعا‌می‌کنند که به بیش از ۵۰ بات‌نت برخورد‌کرده‌اند که شامل دستگاه‌های تلفن همراه آلوده به نسخه‌های مختلف بدافزار Android.SmsSpy.۸۸.origin بوده‌اند.

محققان می‌گویند که در مجموع این بدافزار موفق شده‌است تا چهل‌هزار دستگاه را در ۲۰۰ کشور آلوده‌سازد. با‌این‌حال این بدافزار خود را به شکل نرم‌افزارهای معروفی چون Flash Player نشان‌می‌دهد و به‌محض اینکه اجرا شد، درخواست دسترسی سطح بالا و ویژه دارد.

این بدافزار به‌محض اینکه روی یک دستگاه آلوده نصب‌شود، یک اتصال فعال با کارگزار C&C خود برقرار‌می‌کند و به فعالیت مخرب اصلی خود یعنی سرقت اعتبارنامه‌ها ادامه‌می‌دهد. داده‌های به‌سرقت رفته فوراً به این کارگزار ارسال‌می‌شوند و کنترل حساب بانکی قربانی به دست مهاجم سپرده‌می‎شود.

این برنامه مخرب با استفاده از WebView و نشان‌دادن پنجره فیشینگ روی برنامه‌های اصلی و قانونی،‌ حدود ۱۰۰ برنامه بانکی را هدف قرار داده‌است. قابلیت‌های عملکردی این بدافزار شبیه به Android/Spy.Agent.Sl است که در اوایل ماه مارس مشاهده‌شد و کاربران را در بانک‌های متعددی در کشورهای استرالیا، نیوزلند و ترکیه مورد هدف قرار‌می‌داد.

محققان می‌گویند که پرونده پیکربندی این بدافزار می‌تواند از راه دور به‎روزرسانی شود و در نتیجه‌ آن مهاجمان می‌توانند به‌صورت مجازی، قربانیان را در هر بانکی از سراسر جهان مورد هدف قرار‌دهند. همچنین این تهدید تلاش می‌کند تا اطلاعات کارت‌های بانکی را از طریق یک صفحه جعلی فیشینگ پرداخت گوگل پلی دریافت‌کند تا بتواند به شنود و ارسال پیامک‌ها و پیام‌های چند‌رسانه‌ای و ارسال درخواست‌های USSD و انتقال همه‌ پیام‌های ذخیره‌شده به کارگزار خود و تنظیم یک گذرواژه برای باز‌کردن قفل دستگاه و قفل‌کردن صفحه اصلی دستگاه با استفاده از پنجره‌ای بپردازد که به شکل خاصی طراحی شده‌است.

هنگامی که صفحه‌ دستگاه قفل می‌شود، این بدافزار یک پیام جعلی به کاربر نشان‌می‌دهد و به قربانی می‌گوید که دستگاه به‌دلیل ذخیره و انتشار پرونده‎های غیرقانونی هرزه‌نگاری قفل شده‌است. همچنین این بدافزار به قربانی می‌گوید که می‌تواند برای باز‌کردن قفل دستگاه را به شکل کارت هدیه آی‌تیونز پرداخت‌کند.

محققان می‌گویند که بیشتر دستگاه‌هایی که توسط بدافزار Android.SmsSpy.۸۸.origin مورد حمله قرار‌گرفته‌اند از نسخه‌ اندروید ۴.۴، با سهم ۳۵.۱ درصد از کل استفاده‌می‌کرده‌اند. اگرچه سایر نسخه‌ها نیز همچون اندروید ۵.۱ با (۱۴.۴۶ درصد)، ‌اندروید ۵ (با ۱۴.۱ درصد)، ‌اندروید ۴.۲ با (با ۱۳.۰۰ درصد) و اندروید ۴.۱ (با ۹.۸۸ درصد)‌ آلوده‌شده‌اند.

شرکت دکتر وب می‌گوید: کاربرانی که در کشورهای ترکیه (۱۸.۲۹ درصد)، هند (۸.۸۱ درصد)، اسپانیا (۶.۹۰ درصد)، استرالیا (۶.۸۷ درصد)، آلمان (۵.۷۷ درصد)، فرانسه (۳.۳۴ درصد)،‌ آمریکا (۲.۹۵ درصد)، فیلیپین (۲.۷۰ درصد)، اندونزی (۲.۲۲ درصد)، ایتالیا (۱.۹۹ درصد)، آفریقای جنوبی (۱.۵۹ درصد)، بریتانیا(۱.۵۳ درصد)، پاکستان (۱.۵۱ درصد)، لهستان (۱.۱ درصد)، ایران (۰.۹۸ درصد)، عربستان سعودی (۰.۹۶ درصد)، چین (۰.۹۲ درصد) و بنگلادش (۰.۸۵ درصد)زندگی‌می‌کرده‌اند بیشتر از همه تحت‌تأثیر این بدافزار بوده‌اند.

همچنین محققان می‌گویند که این بدافزار به این دلیل گسترش زیادی یافته که نویسندگان آن در انجمن‌های زیرزمینی تبلیغ بسیاری کرده‎اند و آن را به‌صورت یک محصول تجاری به فروش رسانده‌اند. علاوه‌بر خود بدافزار، به نظر می‌رسد که عوامل پشت پرده‌ آن به ارائه‌ کارگزار این بدافزار برای مشتریان به علاوه یک پنل مدیریت برای اداره دستگاه‌های آلوده می‌پردازند.

از ابتدای سال جاری، حمله‎ سیل‎آسای این بدافزارهای اندرویدی مشاهده شده‌است که به کاربران در سراسر جهان حمله‌می‌کنند که شامل SlemBunk، Xbot و Spy.Agent نیز می‌شوند. علاوه‌بر این، بدافزار Triada هم که به‌عنوان پیشرفته‌ترین بدافزار تلفن همراه تاکنون شناخته‌شده و همچنین بدافزارهای Asacub و Banker مشاهده‌شده‎اند که هر دو مورد آخر عمدتاً به کاربران در روسیه حمله‌می‌کنند.
مرجع : وب‌گاه اخبار امنیتی فن‌آوری اطلاعات و ارتباطات