دو بدافزار جدید اندرویدی با قابلیت سرقت حسابهای بانکی شناسایی شدند
برنامهی آنتیویروس Mister Phone Cleaner و Kylhavy Mobile Security تاکنون درمجموع ۶۰ هزاربار دانلود شدهاند و هدف آنها، سرعت اطلاعات ورود به حسابهای بانکی است که این کار را ازطریق نصب نسخهی کاملتر بدافزار بدنام SharkBot انجام میدهند.
این دو برنامه ابتدا در فروشگاه گوگلپلی منتشر شدند زیرا کد مخربی در آنها وجود نداشت که باعث شود گوگل آنها را رد کند. Mister Phone Cleaner و Kylhavy Mobile Security برنامههای کمکی هستند که برای انتقال بدافزار به گوشیهای هوشمند اندرویدی ایجاد شدهاند. پس از نصب این برنامهها، پیامی به کاربر نمایش داده میشود که اعلام میکند برای محافظت کاملتر دربرابر تهدیدات، بستهی بهروزرسانی را نصب کنند که درواقع این فرایند، روشی برای نصب SharkBot روی گوشی قربانیان است.
اگرچه این اپلیکشینها اکنون از فروشگاه گوگلپلی حذف شدهاند، اما افرادی که آنها را قبلاً دانلود کردهاند باید هرچه سریعتر نسبت به حذف آنها اقدام کنند، در غیر اینصورت، احتمال بهخطر افتادن اطلاعات شخصی و حسابهای حساس ازجمله حسابهای بانکی آنها وجود دارد.
SharkBot اولینبار در اواخر سال ۲۰۲۱ کشف و اولین برنامههای همراه با آن در ماه مارس سال جاری در فروشگاه اپلیکیشن گوگل شناسایی شد. شیوهی کار در آن زمان، سرقت اطلاعات ازطریق کیلاگر (Keylogger)، رهگیری پیامهای متنی، فریب کاربران با استفاده از حملات همپوشانی صفحه برای افشای اطلاعات حساس، یا دادن کنترل از راهدور دستگاه آلوده به مجرمان سایبری با سوءاستفاده از سرویسهای دسترسی بود.
نسخهی ارتقایافتهای به نام SharkBot 2 در ماه می مشاهده و Fox-IT در ۲۲ آگوست بهطور تصادفی با نسخه ۲.۲۵ مواجه شد؛ آپدیتی که میتوانست ازطریق کوکیها و ورود کاربر به حسابهای بانکی، سرقت کند. برنامههای تازه کشفشده با SharkBot 2.25 از خدمات دسترسپذیری سوءاستفاده نمیکنند و همچنین نیازی به ویژگی پاسخ مستقیم ندارند، زیرا این موارد میتواند تأیید آنها را برای انتشار رسمی در گوگل پلی سختتر کند.
بدافزارهای جدید SharkBot درعوض از سرورهای فرمان و کنترل میخواهند که فایل APK Sharkbot را بهطور مستقیم دریافت کنند. پس از آن، برنامههای Dropper به کاربر درمورد بهروزرسانی جدید، اطلاع میدهند و از او درخواست میکنند که APK را نصب و مجوزهای لازم را اعطا کند.
SharkBot برای جلوگیری از شناسایی خودکار، پیکربندی خود را که به روش هارد کد (Hard Coded) برنامهنویسی شده است، بهصورت رمزنگاریشده ذخیره میکند.
هنگامیکه کاربر وارد حساب بانکی خود میشود، SharkBot با استفاده از لاگر مخصوصش، کوکیهای جلسه معتبر را حذف و آن را به سرور فرمان و کنترل ارسال میکند. کوکیها برای عوامل تهدید ارزشمند هستند، زیرا به آنها کمک میکنند تا بررسی اثر انگشت را دور زده و در برخی موارد حتی به توکنهای احرازهویت کاربر نیاز نداشته باشند.
SharkBot میتواند دادههایی مثل گذرواژه و موجودی حساب را از برنامههای بانکی رسمی بهسرقت ببرد. البته در برخی از برنامهها، اثر انگشت میتواند از ورود مهاجمان جلوگیری کنند.
بهنظر میرسد SharkBot کاربران استرالیا، اتریش، آلمان، ایتالیا، لهستان، اسپانیا، بریتانیا و ایالات متحده را هدف قرار داده است.
توسعهدهندگان SharkBot همچنان در تلاش هستند تا این بدافزار را بهبود دهند و Fox-IT انتظار دارد این تیم در آینده، کمپینهای بدافزاری بیشتری راهاندازی کند.
برای جلوگیری از گرفتار شدن در دام چنین برنامههایی، بهتر است آنها را از ناشران ناشناس دانلود نکنید، بهویژه مواردی که محبوبیت زیادی میان کاربران ندارند.
نظرات