به گزارش مشرق، محققان امنیتی دکتر وب هشدار دادهاند که یک بدافزار بانکی اندروید که دو سال پیش کشفشده بود، پس از بهروز شدن باقابلیتهای جدید باج افزاری به یک تهدید جهانی در ماههای گذشته تبدیلشده است.
این بدافزار که Android.SmsSpy.88.origin نام دارد، ابتدا در سال ۲۰۱۴ کشف شد و در آن هنگام عمدتاً به کاربران در روسیه و کشورهای CIS حمله میکرد و از طریق ارسال پیامهای کوتاه هرزنامه که شامل یک نشانی اینترنتی بود و کاربران را به وبگاههای کلاهبرداری میکشاند، گسترش مییافت.
اگرچه این بدافزار قدیمی است، اما اخیراً محبوبیت یافته است و آن نیز به خاطر قابلیتهای متعدد آن است و همچنین به این دلیل که خدماتی در انجمنهای زیرزمینی برای آن ارائه میشود.
محققان دکتر وب میگویند که این بدافزار در اصل برای این طراحیشده بود که پیامکهای حاوی گذرواژه یکبارمصرف بانکی را شنود کرده و مخفیانه پیام ارسال و تماسهای تلفنی برقرار کند؛ اما درنهایت نویسندگان این بدافزار آن را باقابلیتهای سرقت اطلاعات کارتهای بانکی بهروزرسانی کردهاند. این عملیات از طریق همپوشانی فرمهای ورودی در نرمافزار گوگلپلی و یا از طریق نرمافزارهای بانکی اینترنتی که بهوسیله بانکهای مشهور روسی ارائه میشود، صورت گرفته است.
محققان از انتهای سال ۲۰۱۵ یک نسخه پیچیده از یک برنامه را مشاهده کردند که به کاربران در سراسر جهان حمله میکند. محققان شرکت دکتر وب ادعا میکنند که به بیش از ۵۰ باتنت برخورد کردهاند که شامل دستگاههای تلفن همراه آلوده به نسخههای مختلف بدافزار Android.SmsSpy.88.origin بودهاند.
محققان میگویند که درمجموع این بدافزار موفق شده است تا چهل هزار دستگاه را در ۲۰۰ کشور آلوده سازد. بااینحال این بدافزار خود را به شکل نرمافزارهای معروفی چون Flash Player نشان میدهد و بهمحض اینکه اجرا شد، درخواست دسترسی سطح بالا و ویژه را دارد.
این بدافزار بهمحض اینکه روی یک دستگاه آلوده نصب شود، یک اتصال فعال با کارگزار C&C خود برقرار میکند و به فعالیت مخرب اصلی خود یعنی سرقت اعتبارنامهها ادامه میدهد. دادههای به سرقت رفته فوراً به این کارگزار ارسال میشوند و کنترل حساب بانکی قربانی به دست مهاجم سپرده میشود.
این برنامه مخرب با استفاده از WebView و نشان دادن پنجره فیشینگ روی برنامههای اصلی و قانونی، حدود ۱۰۰ برنامه بانکی را هدف قرار داده است. قابلیتهای عملکردی این بدافزار شبیه به Android/Spy.Agent.Sl است که در اوایل ماه مارس مشاهده شد و کاربران را در بانکهای متعددی در کشورهای استرالیا، نیوزلند و ترکیه مورد هدف قرار میداد.
محققان میگویند که پرونده پیکربندی این بدافزار میتواند از راه دور بهروزرسانی شود و درنتیجه آن مهاجمان میتوانند بهصورت مجازی، قربانیان را در هر بانکی از سراسر جهان مورد هدف قرار دهند. همچنین این تهدید تلاش میکند تا اطلاعات کارتهای بانکی را از طریق یک صفحه جعلی فیشینگ پرداخت گوگل پلی دریافت کند تا بتواند به شنود و ارسال پیامکها و پیامهای چندرسانهای و ارسال درخواستهای USSD و انتقال همهی پیامهای ذخیرهشده به کارگزار خود و تنظیم یک گذرواژه برای باز کردن قفل دستگاه و قفلکردن صفحه اصلی دستگاه با استفاده از پنجرهای که به شکل خاصی طراحیشده است، بپردازد.
هنگامیکه صفحهی دستگاه قفل میشود، این بدافزار یک پیام جعلی به کاربر نشان میدهد و به قربانی میگوید که دستگاه به دلیل ذخیره و انتشار پروندههای غیرقانونی هرزهنگاری قفلشده است. همچنین این بدافزار به قربانی میگوید که میتواند برای باز کردن قفل دستگاه باجی را به شکل کارت هدیه آیتیونز پرداخت کند.
محققان میگویند که بیشتر دستگاههایی که توسط بدافزار Android.SmsSpy.88.origin موردحمله قرارگرفتهاند از نسخه اندروید ۴.۴، با سهم ۳۵.۱ درصد از کل استفاده میکردهاند. اگرچه سایر نسخهها نیز همچون اندروید ۵.۱ با (۱۴.۴۶ درصد)، اندروید ۵ (با ۱۴.۱ درصد)، اندروید ۴.۲ با (با ۱۳.۰۰ درصد) و اندروید ۴.۱ (با ۹.۸۸ درصد) نیز آلودهشدهاند.
شرکت دکتر وب میگوید: «کاربرانی که در کشورهای زیر زندگی میکردهاند بیشتر از همه تحت تأثیر این بدافزار بودهاند: ترکیه (۱۸.۲۹ درصد)، هند (۸.۸۱ درصد)، اسپانیا (۶.۹۰ درصد)، استرالیا (۶.۸۷ درصد)، آلمان (۵.۷۷ درصد)، فرانسه (۳.۳۴ درصد)، آمریکا (۲.۹۵ درصد)، فیلیپین (۲.۷۰ درصد)، اندونزی (۲.۲۲ درصد)، ایتالیا (۱.۹۹ درصد)، آفریقای جنوبی (۱.۵۹ درصد)، بریتانیای کبیر (۱.۵۳ درصد)، پاکستان (۱.۵۱ درصد)، لهستان (۱.۱ درصد)، ایران (۰.۹۸ درصد)، عربستان سعودی (۰.۹۶ درصد)، چین (۰.۹۲ درصد) و بنگلادش (۰.۸۵ درصد)».
همچنین محققان میگویند که این بدافزار به این دلیل گسترش زیادی یافته که نویسندگان آن در انجمنهای زیرزمینی تبلیغ بسیاری کردهاند و بهصورت یک محصول تجاری آن را به فروش رساندهاند. علاوه بر خود بدافزار، به نظر میرسد که عوامل پشت پردهی آن، به ارائه کارگزار این بدافزار برای مشتریان بهعلاوه یک پنل مدیریت برای اداره دستگاههای آلوده، میپردازند.
از ابتدای سال جاری، حملهی سیلآسای این بدافزارهای اندرویدی مشاهدهشده است که به کاربران در سراسر جهان حمله میکنند که شامل SlemBunk، Xbot و Spy.Agent نیز میشوند. علاوه بر این، بدافزار Triada هم که بهعنوان پیشرفتهترین بدافزار تلفن همراه تاکنون شناختهشده و همچنین بدافزارهای Asacub و Banker مشاهدهشدهاند که هر دو مورد آخر، عمدتاً به کاربران در روسیه حمله میکنند.
منبع: سایبربان
این بدافزار که Android.SmsSpy.88.origin نام دارد، ابتدا در سال ۲۰۱۴ کشف شد و در آن هنگام عمدتاً به کاربران در روسیه و کشورهای CIS حمله میکرد و از طریق ارسال پیامهای کوتاه هرزنامه که شامل یک نشانی اینترنتی بود و کاربران را به وبگاههای کلاهبرداری میکشاند، گسترش مییافت.
اگرچه این بدافزار قدیمی است، اما اخیراً محبوبیت یافته است و آن نیز به خاطر قابلیتهای متعدد آن است و همچنین به این دلیل که خدماتی در انجمنهای زیرزمینی برای آن ارائه میشود.
محققان دکتر وب میگویند که این بدافزار در اصل برای این طراحیشده بود که پیامکهای حاوی گذرواژه یکبارمصرف بانکی را شنود کرده و مخفیانه پیام ارسال و تماسهای تلفنی برقرار کند؛ اما درنهایت نویسندگان این بدافزار آن را باقابلیتهای سرقت اطلاعات کارتهای بانکی بهروزرسانی کردهاند. این عملیات از طریق همپوشانی فرمهای ورودی در نرمافزار گوگلپلی و یا از طریق نرمافزارهای بانکی اینترنتی که بهوسیله بانکهای مشهور روسی ارائه میشود، صورت گرفته است.
محققان از انتهای سال ۲۰۱۵ یک نسخه پیچیده از یک برنامه را مشاهده کردند که به کاربران در سراسر جهان حمله میکند. محققان شرکت دکتر وب ادعا میکنند که به بیش از ۵۰ باتنت برخورد کردهاند که شامل دستگاههای تلفن همراه آلوده به نسخههای مختلف بدافزار Android.SmsSpy.88.origin بودهاند.
محققان میگویند که درمجموع این بدافزار موفق شده است تا چهل هزار دستگاه را در ۲۰۰ کشور آلوده سازد. بااینحال این بدافزار خود را به شکل نرمافزارهای معروفی چون Flash Player نشان میدهد و بهمحض اینکه اجرا شد، درخواست دسترسی سطح بالا و ویژه را دارد.
این بدافزار بهمحض اینکه روی یک دستگاه آلوده نصب شود، یک اتصال فعال با کارگزار C&C خود برقرار میکند و به فعالیت مخرب اصلی خود یعنی سرقت اعتبارنامهها ادامه میدهد. دادههای به سرقت رفته فوراً به این کارگزار ارسال میشوند و کنترل حساب بانکی قربانی به دست مهاجم سپرده میشود.
این برنامه مخرب با استفاده از WebView و نشان دادن پنجره فیشینگ روی برنامههای اصلی و قانونی، حدود ۱۰۰ برنامه بانکی را هدف قرار داده است. قابلیتهای عملکردی این بدافزار شبیه به Android/Spy.Agent.Sl است که در اوایل ماه مارس مشاهده شد و کاربران را در بانکهای متعددی در کشورهای استرالیا، نیوزلند و ترکیه مورد هدف قرار میداد.
محققان میگویند که پرونده پیکربندی این بدافزار میتواند از راه دور بهروزرسانی شود و درنتیجه آن مهاجمان میتوانند بهصورت مجازی، قربانیان را در هر بانکی از سراسر جهان مورد هدف قرار دهند. همچنین این تهدید تلاش میکند تا اطلاعات کارتهای بانکی را از طریق یک صفحه جعلی فیشینگ پرداخت گوگل پلی دریافت کند تا بتواند به شنود و ارسال پیامکها و پیامهای چندرسانهای و ارسال درخواستهای USSD و انتقال همهی پیامهای ذخیرهشده به کارگزار خود و تنظیم یک گذرواژه برای باز کردن قفل دستگاه و قفلکردن صفحه اصلی دستگاه با استفاده از پنجرهای که به شکل خاصی طراحیشده است، بپردازد.
هنگامیکه صفحهی دستگاه قفل میشود، این بدافزار یک پیام جعلی به کاربر نشان میدهد و به قربانی میگوید که دستگاه به دلیل ذخیره و انتشار پروندههای غیرقانونی هرزهنگاری قفلشده است. همچنین این بدافزار به قربانی میگوید که میتواند برای باز کردن قفل دستگاه باجی را به شکل کارت هدیه آیتیونز پرداخت کند.
محققان میگویند که بیشتر دستگاههایی که توسط بدافزار Android.SmsSpy.88.origin موردحمله قرارگرفتهاند از نسخه اندروید ۴.۴، با سهم ۳۵.۱ درصد از کل استفاده میکردهاند. اگرچه سایر نسخهها نیز همچون اندروید ۵.۱ با (۱۴.۴۶ درصد)، اندروید ۵ (با ۱۴.۱ درصد)، اندروید ۴.۲ با (با ۱۳.۰۰ درصد) و اندروید ۴.۱ (با ۹.۸۸ درصد) نیز آلودهشدهاند.
شرکت دکتر وب میگوید: «کاربرانی که در کشورهای زیر زندگی میکردهاند بیشتر از همه تحت تأثیر این بدافزار بودهاند: ترکیه (۱۸.۲۹ درصد)، هند (۸.۸۱ درصد)، اسپانیا (۶.۹۰ درصد)، استرالیا (۶.۸۷ درصد)، آلمان (۵.۷۷ درصد)، فرانسه (۳.۳۴ درصد)، آمریکا (۲.۹۵ درصد)، فیلیپین (۲.۷۰ درصد)، اندونزی (۲.۲۲ درصد)، ایتالیا (۱.۹۹ درصد)، آفریقای جنوبی (۱.۵۹ درصد)، بریتانیای کبیر (۱.۵۳ درصد)، پاکستان (۱.۵۱ درصد)، لهستان (۱.۱ درصد)، ایران (۰.۹۸ درصد)، عربستان سعودی (۰.۹۶ درصد)، چین (۰.۹۲ درصد) و بنگلادش (۰.۸۵ درصد)».
همچنین محققان میگویند که این بدافزار به این دلیل گسترش زیادی یافته که نویسندگان آن در انجمنهای زیرزمینی تبلیغ بسیاری کردهاند و بهصورت یک محصول تجاری آن را به فروش رساندهاند. علاوه بر خود بدافزار، به نظر میرسد که عوامل پشت پردهی آن، به ارائه کارگزار این بدافزار برای مشتریان بهعلاوه یک پنل مدیریت برای اداره دستگاههای آلوده، میپردازند.
از ابتدای سال جاری، حملهی سیلآسای این بدافزارهای اندرویدی مشاهدهشده است که به کاربران در سراسر جهان حمله میکنند که شامل SlemBunk، Xbot و Spy.Agent نیز میشوند. علاوه بر این، بدافزار Triada هم که بهعنوان پیشرفتهترین بدافزار تلفن همراه تاکنون شناختهشده و همچنین بدافزارهای Asacub و Banker مشاهدهشدهاند که هر دو مورد آخر، عمدتاً به کاربران در روسیه حمله میکنند.
منبع: سایبربان
