تروجان بانکی بانک‌بات با ترفندهای جدید، دوباره در گوگل‌پلی ظاهر می‌شود

کمیته رکن چهارم – بانک‌بات۱، تروجان بانکی خطرناکی که برای اولین بار در اوایل سال جاری کشف شد، دوباره راه خود را به عنوان یک برنامه‌ی بازی محبوب، به گوگل‌پلی باز کرد. این تروجان بانکی که خود را Jewels Star کلاسیک می‌نامد، تلاش می‌کند که خود را به جای بازی تلفن همراه قانونی Jewels Star جا بزند و قبل از این‌که گوگل این برنامه‌ی مخرب را از فروشگاه خود حذف کند، بیش از ۵ هزار بار توسط کاربران نصب شده است. طبق گفته‌ی ‌ای‌ست، زمانی‌که یک کاربر برنامه‌ی Jewels Star کلاسیک را بارگیری می‌کند، یک بازی اندرویدی فعال را دریافت می‌کند که یک بدافزار بانکی و یک سرویس منتظر راه‌اندازی پس از یک تاخیر از پیش تنظیم شده، را درون خود دارد.

 

این خدمات مخرب ۲۰ دقیقه پس از اولین اجرای Jewels Star کلاسیک راه‌اندازی می‌شود. پس از راه‌اندازی بدافزار، یک پنجره در صفحه‌ی کاربر ظاهر می‌شود که از کاربر می‌خواهد تا چیزی به نام «خدمات گوگل» را فعال کند. پس از کلیک کردن روی گزینه‌ی تایید، که تنها راه جلوگیری از ظاهر شدن هشدار است، کاربر به فهرست انتخاب دسترسی اندروید وارد می‌شود و فهرستی از مجوزهای لازم را مشاهده می‌کند: فعالیت‌های خود را مشاهده کنید، محتوای پنجره را بازیابی کنید، «کاوش با لمس» را روشن کنید، دسترسی پیشرفته به وب را فعال کنید و حرکات را انجام دهید. کاربر با کلیک بر روی دکمه‌ی تایید، مجوز‌های دسترسی را به سرویس دستیابی بدافزار می‌دهد.

محققان ای‌ست گفتند: «با اعطای این مجوزها، کاربر این امکان را به بدافزار می‌دهد تا هر کاری که برای ادامه‌ی فعالیت‌های مخرب خود لازم است، را انجام دهد.» سپس بدافزار از این مجوزهای دسترسی برای نصب و راه‌اندازی بانک‌بات استفاده می‌کند و به منظور گرفتن پیام‌های احراز هویت دو-عاملی، این تروجان بانکی را به عنوان برنامه‌ی پیام‌رسان پیامکی پیش‌فرض تنظیم می‌کند و مجوزهای لازم را برای دسترسی به برنامه‌های دیگر را به دست می‌آورد. از این طریق، بانک‌بات اطلاعات کارت اعتباری قربانیان را به سرقت می‌برد. محققان می‌گویند: «در این پویش، کلاهبرداران مجموعه‌ای از مهارت‌ها را که باعث افزایش محبوبیت در میان نویسندگان بدافزارها می‌شود را کنار هم جمع کرده‌اند. این مهارت‌ها شامل سوءاستفاده از خدمات دسترسی اندروید، جعل هویت گوگل و تنظیم یک زمان‌سنج تاخیر در شروع فعالیت‌های مخرب برای فرار از اقدامات امنیتی گوگل است. این مهارت‌ها تشخیص به موقع این تهدید را برای قربانی سخت می‌کنند.»

بانک‌بات از آن‌جا که اولین بار پس از جعل کردن صدها برنامه‌ی گوگل‌پلی، کشف شد، در تمام طول سال در حال رشد بوده و در نسخه‌های متفاوت در گوگل‌پلی و بیرون از آن در حال فعالیت بوده است. محققان می‌گویند: «نوعی که ما در تاریخ ۴ سپتامبر در گوگل‌پلی کشف کردیم، اولین نوعی بود که با موفقیت گام‌های اخیر تکامل بانک‌بات را ترکیب کرد: مبهم‌سازی کد، یک بار داده‌ی پیچیده که عملیات را انجام می‌دهد و یک روش کار مخرب که از خدمات دسترسی اندروید سوءاستفاده می‌کند. سوءاستفاده از قابلیت دسترسی اندروید قبلا در تروجان‌های مختلف بیشتر در خارج از گوگل‌پلی دیده شده بود. تجزیه و تحلیل‌های اخیر از SfyLabs و Zscaler تایید کرده است که کلاه‌برداران به منظور بارگذاری یک برنامه با قابلیت دسترسی، بانک‌بات را گسترش می‌دهند، تا بدون هیچ بار داده‌ی بدافزار بانکی از عملکرد گوگل‌پلی سوءاستفاده کنند.»

منبع : news.asis.io

درباره نویسنده

پست های مرتبط

پاسخ دهید


خبرگزاری هرانا

نشانی ایمیل شما منتشر نخواهد شد.


Type The Green Captcha Characters Below.