کمیته رکن چهارم – ترندمیکرو گزارش داد که چند برنامهی کاربردی ابزاری که در فروشگاه گوگلپلی توزیع میشوند، به یک تروجان بانکی اندرویدی با نام BankBot آلوده شدهاند.
در اوایل سال ۲۰۱۷ میلادی که کد منبع مربوط به این تروجان بانکی بهطور برخط منتشر شد، برای اولین بار مورد بررسی قرار گرفت و در طول این سال نیز بسیار فعال بوده است. در بازهی ماههای آوریل و جولای، به نظر میرسید این تروجان در قالب برنامههای سرگرمی و نرمافزارهای بانکی در گوگلپلی توزیع میشد و در حال حاضر به سمت آلوده کردن برنامههای ابزاری متمایل شده است.
این تروجان بانکی برای سرقت اطلاعات کارتهای بانکی قربانیان با روش رایانامههای فیشینگ طراحی شده بود. این بدافزار میتواند امتیازات مدیریتی را درخواست کرده و عملیات مخرب خود را اجرایی کند. علاوه بر سرقت گواهینامههای ورود، این تروجان میتواند پیامکهای قربانی را شنود کرده و پیامک ارسال کند، فهرست مخطبان را بازیابی کرده، دستگاه را ردیابی و تماسهایی را برقرار کند.
به گفتهی ترندمیکرو، این تروجان بانکی توانسته است تقریبا ۴ ابزار را آلوده کرده و هزاران کاربر اندرویدی را در معرض خطر قرار دهد. محققان امنیتی کشف کردند یکی از برنامههای کاربردی که به تروجان BankBot آلوده شده بود، نزدیک به ۵ هزار بار بارگیری شده است. محققان کشف کردند در نسخهی جدید علاوه بر اینکه بانکهایی در ۲۷ کشور هدف حمله قرار گرفتهاند، وبگاههای فیشینگ نیز طراحی شده که برنامههای آلودهی بانکی در امارات متحدهی عربی را توزیع میکنند.
وقتی دستگاهی به تروجان بانکی BankBot آلوده شد، این بدافزار نرمافزار بانکی نصب شده را بررسی میکند. اگر نرمافزار یکی از برنامههای هدف باشد، اطلاعات مربوط به آن را به کارگزار دستور و کنترل ارسال کرده و نام بستهها و برچسبهای متناسب با آن را بارگذاری میکند. کارگزار دستور و کنترل در پاسخ، آدرس URL ی را برمیگرداند که باید کتابخانههای آن برای نمایش وبگاه فیشینگ بر روی برنامههای بانکی، بارگیری شود. این تروجان بانکی روشهایی را نیز برای دور زدن راهکارهای امنیتی به کار میبرد و اگر مطمئن نشود که بر روی ماشین واقعی اجرا میشود، عملیات خود را ادامه نخواهد داد. این بدافزار کاربرانی که در کشورهای مستقل مشترک المنافع قرار دارند را نیز هدف قرار نمیدهد.
منبع : news.asis.io
