قابلیت سرقت حساب‌های بانکی در بدافزارهای جدید اندروید!

کارشناسان امنیت سایبری Fox-IT گزارش داده‌اند کاربران اندروید باید هرچه‌ زودتر نسبت به حذف دو اپلیکیشن خطرناک از روی دستگاه خود اقدام کنند. برنامه‌ی آنتی‌ویروس Mister Phone Cleaner و Kylhavy Mobile Security تاکنون درمجموع ۶۰ هزاربار دانلود شده‌اند و قابلیت سرقت حساب‌های بانکی را دارند که این کار را ازطریق نصب نسخه‌ی کامل‌تر بدافزاری بدنام SharkBot انجام می‌دهند.

این دو برنامه ابتدا در فروشگاه گوگل‌پلی منتشر شدند زیرا کد مخربی در آن‌ها وجود نداشت که باعث شود گوگل آن‌ها را رد کند. Mister Phone Cleaner و Kylhavy Mobile Security برنامه‌های کمکی هستند که برای انتقال بدافزار به گوشی‌های هوشمند اندرویدی ایجاد شده‌اند. پس از نصب این برنامه‌ها، پیامی به کاربر نمایش داده می‌شود که اعلام می‌کند برای محافظت کامل‌تر دربرابر تهدیدات، بسته‌ی به‌روزرسانی را نصب کنند که درواقع این فرایند، قابلیت سرقت حساب‌های بانکی این بدافزار را فعال می‌کند.

اگرچه این اپلیکشین‌ها اکنون از فروشگاه گوگل‌پلی حذف شده‌اند، اما افرادی که آن‌ها را قبلاً دانلود کرده‌اند باید هرچه‌ سریع‌تر نسبت به حذف آن‌ها اقدام کنند، در غیر این‌صورت، احتمال به‌خطر افتادن اطلاعات شخصی و حساب‌های حساس ازجمله حساب‌های بانکی آن‌ها وجود دارد.

SharkBot اولین‌بار در اواخر سال ۲۰۲۱ کشف و اولین برنامه‌های همراه با آن در ماه مارس سال جاری در فروشگاه اپلیکیشن گوگل شناسایی شد. شیوه‌ی کار در آن زمان، سرقت اطلاعات ازطریق Keylogger، رهگیری پیام‌های متنی، فریب کاربران با استفاده از حملات هم‌پوشانی صفحه برای افشای اطلاعات حساس و… بود.

نسخه‌ی ارتقایافته‌ای به نام SharkBot 2 در ماه می مشاهده و Fox-IT در ۲۲ آگوست به‌طور تصادفی با یکی از نسخه آن مواجه شد؛ آپدیتی که می‌توانست ازطریق کوکی‌ها و ورود کاربر به حساب‌های بانکی، سرقت کند. برنامه‌های تازه کشف‌شده با SharkBot 2.25 از خدمات دسترس‌پذیری سوءاستفاده نمی‌کنند و همچنین نیازی به ویژگی پاسخ مستقیم ندارند، زیرا این موارد می‌تواند تأیید آن‌‌ها را برای انتشار رسمی در گوگل پلی سخت‌تر کند.

بدافزارهای جدید SharkBot درعوض از سرورهای فرمان و کنترل می‌خواهند که فایل APK Sharkbot را به‌طور مستقیم دریافت کنند. پس از آن، برنامه‌های Dropper به کاربر درمورد به‌روزرسانی جدید، اطلاع می‌دهند و از او درخواست می‌کنند که APK را نصب و مجوزهای لازم را اعطا کند.

SharkBot برای جلوگیری از شناسایی خودکار، پیکربندی خود را که به روش Hard Coded برنامه‌نویسی شده است، به‌صورت رمزنگاری‌شده ذخیره می‌کند. هنگامی‌که کاربر وارد حساب بانکی خود می‌شود، SharkBot با استفاده از لاگر مخصوصش، کوکی‌های جلسه معتبر را حذف و آن را به سرور فرمان و کنترل ارسال می‌کند. کوکی‌ها برای عوامل تهدید ارزشمند هستند، زیرا به آن‌ها کمک می‌کنند تا بررسی اثر انگشت را دور زده و در برخی موارد حتی به توکن‌های احرازهویت کاربر نیاز نداشته باشند.

منبع: وب سایت زومیت

بیشتر بخوانید:

ماهواره ایرانی آیات به فضا پرتاب می‌شود!