کمیته رکن چهارم – پژوهشگران امنیتی از موج جدیدی از بدافزارهای اندرویدی خبر دادهاند که با ترکیب روشهایی مانند استفاده از اپلیکیشنهای دراپر، سرقت پیامکها و دسترسی از راه دور (RAT)، کاربران کشورهای مختلف از جمله ازبکستان، ترکیه و هند را هدف قرار دادهاند. این بدافزارها با استفاده از روشهای پیچیده مهندسی اجتماعی، بهطور پنهانی اطلاعات حساس کاربران را سرقت میکنند.
به گزارش کمیته رکن چهارم، شرکت Group-IB اعلام کرده مهاجمان از اپلیکیشنهای مخربی مانند Wonderland که به ظاهر بیضررند، برای نفوذ به دستگاههای اندرویدی استفاده میکنند. این بدافزار با کمک دراپرهایی به نام MidnightDat و RoundRift توزیع میشود و پس از نصب، به پیامکها، اطلاعات بانکی، مخاطبان و حتی کنترل دستگاه دسترسی پیدا میکند. سرقت کدهای OTP، درخواستهای USSD، و ارسال پیامکهای آلوده برای گسترش آلودگی از دیگر قابلیتهای آن است.
ساختار گروه مهاجم شامل توسعهدهندگان، بررسیکنندگان کارتهای سرقتی و توزیعکنندگان بدافزار است که از پلتفرم تلگرام برای هماهنگی بهره میبرند. ارتباط دوطرفه با سرورهای C2 و استفاده از دامنههای موقت و ضدتحلیل، کشف و مقابله با این بدافزارها را دشوار میسازد.
در کنار این حملات، بدافزارهای دیگری مانند Cellik، Frogblight و NexusRoute نیز در کشورهای دیگر فعال شدهاند. این بدافزارها با امکاناتی مانند پخش زنده صفحهنمایش، سرقت دادههای مالی، تزریق RAT به اپهای واقعی، و حتی کنترل کامل دستگاه، خطرات گستردهای برای کاربران به همراه دارند.
تحلیلها نشان میدهد حملات اندرویدی از فاز ساده به عملیاتهای حرفهای و سازمانیافته تغییر مسیر دادهاند. کاربران باید از نصب اپها از منابع ناشناس خودداری کرده و توسعهدهندگان نیز زنجیره تأمین و کدهای مورد استفاده را به دقت بررسی کنند.
