اخیرا SfyLabs یک تروجان بانکی کشف کرده که دارای یک ربات، پنل دستور و کنترل است که کاملا از ابتدا نوشته شده است. محققان می‌گویند این بدافزار جدید که هشدار قرمز نامیده می‌شود، طی چند ماه گذشته، توسط یک مهاجم جدید طراحی و توزیع شده است. یکی از ویژگی‌ها این تروجان، کد غیرتکراری آن است، اما قابلیت‌های آن، مانند استفاده از صفحات پوششی برای سرقت اطلاعات ورود یا توانایی شنود پیام‌های کوتاه و سرقت اطلاعات مخاطبان، شبیه به تروجان‌های بانکی اندروید دیگر است.

طبق گفته SfyLabs، مهاجمان هشدار قرمز در حال اضافه کردن قابلیت‌های جدید به این تروجان هستند تا مطمئن باشند که همچنان موثر باقی خواهد ماند. این بدافزار تلفن همراه می‌تواند تماس‌های دریافتی را از بانک‌ها را مسدود کرده و یا ثبت کند، بنابراین اطمینان حاصل می‌کند که شرکت‌های مالی نمی‌توانند با کاربران تلفن اندرویدی آلوده تماس بگیرند و به آن‌ها را در مورد فعالیت‌های مخرب بالقوه هشدار دهند. زمانی‌که کارگزار دستور و کنترل برون‌-خط می‌شود، این بدافزار از توییتر برای جلوگیری از دست دادن ربات‌ها استفاده می‌کند. محققان مشاهده کردند که اگر ربات این بدافزار نتواند به کارگزار دستور و کنترل متصل شود، یک کارگزار جدید را از یک حساب توییتر بازیابی می‌کند.

این رویکرد در دنیای بدافزارها جدید نیست، اما عمدتا با تروجان‌های ویندوز مرتبط است. در واقع، SfyLabs ادعا می‌کند که طبق مشاهدات آن‌ها، هشدار قرمز اولین تروجان بانکی اندرویدی است که این قابلیت‌ها در خود جا داده است. با توجه به اینکه کاربران زیادی عملیات بانکی خود را به‌طور مستقیم از دستگاه‌های تلفن همراه خود انجام می‌دهند، جای تعجب نیست که مهاجمان روی محبوب‌ترین سامانه عامل تلفن همراه موجود، متمرکز شوند. باید کارگزار دستور و کنترل از دسترس خارج شود تا خطای اتصال فعال شود. کدهای بدافزار از تاریخ فعلی، همراه با مقادیر اولیه‌ی ذخیره‌شده در پرونده strings.xml برای ایجاد یک درهم‌سازی MD۵ جدید استفاده می‌کنند. ۱۶ عدد اول درهم‌ساز به‌عنوان یک عضو توییتر ثبت‌شده توسط مهاجم هشدار قرمز استفاده می‌شود. ربات از کاربر، صفحه توییتر درخواست می‌کند و پاسخ را برای به دست آوردن آدرس کارگزار دستور و کنترل جدید تفسیر می‌کند.

بر خلاف دیگر تروجان‌های بانکی اندرویدی که از صفحه‌ی پوششی برای سرقت اطلاعات ورود کاربر استفاده می‌کنند، بدافزار هشدار قرمز فهرست کامل اهداف را از کارگزار دستور و کنترل خود دریافت نمی‌کند. نگه داشتن این فهرست، فقط بر روی کارگزار سبب می‌شود که تشخیص بانکی که هدف قرار گرفته مشکل باشد، اما SfyLabs حدود ۶۰ پوشش HTML را کشف کرد که مهاجم در لحظه از آن‌ها استفاده می‌کرد. هنگامی‌که کاربر برنامه‌ای که هدف قرار گرفته را روی یک دستگاه اندرویدی آلوده راه‌اندازی می‌کند، این بدافزار یک صفحه پوششی را نمایش می‌دهد که شبیه یک صفحه قانونی است. با این حال، هنگامی‌که کاربر می‌خواهد وارد سامانه شود، یک صفحه خطا نمایش داده می‌شود، در حالی که اطلاعات وارد‌شده به کارگزار دستور و کنترل ارسال می‌شود.

برای فهمیدن این‌که چه موقع صفحه پوششی جعلی باید نمایش داده شود، این بدافزار برنامه‌هایی که رتبه بالایی دارند را به صورت دوره‌ای درخواست می‌کند. محققان امنیتی توضیح می‌دهند که در دستگاه‌های نسخه اندروید ۵ و یا بالاتر است، بدافزار از جعبه ابزار اندروید برای این فعالیت استفاده می‌کند، رویکردی متفاوت از آن‌چه که توسط تروجان‌های اندرویدی مانند مزار، ایزابات و بانک‌بات استفاده می‌شود. محققان امنیتی همچنین کشف کردند که مهاجمان می‌توانند این تروجان را از طریق دستوراتی که به‌طور مستقیم از کارگزار دستور و کنترل ارسال می‌شوند، کنترل کنند. دستورالعمل‌ها عبارتند از: جلوگیری از دریافت پیامک، ارسال پیامک، فعال کردن یا غیرفعال کردن پیامک‌های پیش‌فرض، گرفتن پیامک یا تماس یا فهرست مخاطبان تماس، برنامه راه‌اندازی، ارسال USSD، و مسدود کردن و اطلاع‌رسانی. نمونه‌های مشاهده‌شده می‌توانند به‌روزرسانی‌های فلش‌پلیر، برنامه‌های محبوب مانند واتس‌اپ و وایبر، به‌روزرسانی‌های بازار گوگل‌پلی و حتی به‌روز‌رسانی‌های سامانه‌ی عامل اندروید را پوشش دهند.

 منبع: asis

درباره نماد امن

“نماد امن” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

یک تروجان بانکی اندرویدی جدید به نام «هشدار قرمز» کشف شد

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *