بدافزار بانکی Android.BankBot.149.origin

محققان امنیتی هشدار دادند که کد منبع یک بدافزار بانکی اندروید به‌طور برخط منتشر شده است، و به همراه این کد منبع، اطلاعاتی در خصوص استفاده از آن نیز قرار دارد. شرکت امنیتی Dr.Web اعلام کرد بدافزاری را شناسایی کرده که کد منبع آن نیز منتشر شده‌است. این بدافزار به‌طور مستقیم به برنامه‌های قانونی اندروید در فروشگاه‌های ثالث تزریق شده و در حال توزیع است.

به گزارش لیتست هکینگ نیوز، این بدافزار با نام Android.BankBot.149.origin تلاش می‌کند بر روی رایانه‌های آلوده امتیازات مدیریتی را بدست آورد. وقتی بدافزار به امتیازات کامل دست یافت، از روی صفحه‌ی خانگی، آیکون برنامه‌ی کاربردی را حذف می‌کند و تلاش دارد کاربر را فریب دهد که این برنامه به‌کلی حذف شده‌است.

از سوی دیگر، این بدافزار در پس‌زمینه فعال باقی می‌ماند و به یک کارگزار دستور و کنترل متصل شده و برای دریافت دستورات منتظر می‌ماند. این بدافزار می‌تواند وظایف مختلفی از جمله ارسال و دریافت پیامک، سرقت اطلاعات مخاطبان، ردیابی دستگاه، برقراری تماس تلفنی، نمایش دیالوگ‌های فیشینگ و سرقت اطلاعات حساس مانند اطلاعات کارت‌های بانکی را انجام دهد.

به‌ گفته این شرکت امنیتی، بدافزار Android.BankBot.149.origin مانند سایر بدافزارهای بانکی اندروید، با ردیابی فعالیت برنامه‌های پرداخت برخط و برنامه‌های بانکی، اطلاعات گواهی‌نامه‌های کاربران را به سرقت می‌برد. در بررسی نمونه‌ای از این بدافزار مشخص‌شد که تعداد زیادی از برنامه‌های بانکی را کنترل می‌کند. زمانی‌که بدافزار استفاده از برنامه‌های بانکی را شناسایی کرد، یک فرم فیشینگ را نمایش داده و اطلاعات کارت بانکی و گذرواژه‌های قربانی را دریافت کرده و در قسمت بالای برنامه‌ی مورد نظر نمایش می‌دهد.

وقتی یکی از برنامه‌های معروف مانند فیس‌بوک، اینستاگرام، واتس‌اپ، یوتیوب و حتی گوگل‌پلی راه‌اندازی شد، بدافزار دیالوگ فیشینگ شبیه به دیالوگ خرید از گوگل‌پلی را نمایش می‌دهد و اطلاعات کارت‌های بانکی را از کاربر درخواست می‌کند. علاوه بر این، بدافزار می‌تواند پیام‌های متنی را ردیابی کرده و آن‌ها را برای مهاجم ارسال کند. در ادامه نیز این پیام‌ها از روی تلفن همراه حذف خواهدشد. این عملیات در مورد اطلاعات بانکی می‌تواند بسیار خطرناک محسوب شود. این شرکت امنیتی هشدار داد این تنها یک نمونه از بدافزار مبتنی بر این کد منبع منتشرشده است و کاربران باید در دانلود برنامه‌های اندروید از فروشگاه‌های ثالث بسیار مراقب باشند، و هنگام بازکردن برنامه بانک خود، آن‌را با دقت مشاهده کنید و مطمئن شوید که برنامه به‌طور معمول رفتار می‌کند یا خیر؛ اگر چیز مشکوکی به نظر می‌رسد سریعاً آن‌را ببندید.

ترجمه: وحید ذبیح‌اله‌نژاد

رگولاتوری هم هشدار داد

به نظر می‌رسد مجوزهای درخواستی برنامه‌های کاربردی گوگل علاوه بر اجازه دسترسی به اطلاعات کاربر و تعامل مستقیم با دستگاه، هزینه‌هایی را نیز در زمینه مکالمات خارج از کشور داشته باشند، بنابراین سازمان رگولاتوری پیامکی را جهت هشداری به کاربران فرستاده تا هنگام نصب برنامه‌ها و مجوزهای درخواستی، دقت کافی به خرج دهند.

ایسنا: زمانی که یک برنامه کاربردی را از Play Store دریافت و نصب می‌کنیم، مجوزهای درخواستی برنامه کاربردی مورد نظر به نمایش گذاشته می‌شود و این مجوزها می‌توانند دسترسی به حافظه گوشی موردنظر، تماس‌های تلفنی، ارتباطات شبکه و غیره را داشته باشند.
توسعه‌دهندگان برنامه‌های کاربردی با توجه به عدم آگاهی و بی‌توجهی برخی کاربران، مجوزهایی را از آنها می‌خواهند که راه را برای نفوذ به دستگاه‌های اندرویدی باز می‌کند، بنابراین با توجه به تولید انبوه برنامه‌های کاربردی سیستم‌عامل اندرویدی و همچنین دانش اندک بیشتر کاربران، باید درباره خطر احتمالی برنامه‌هایی که تهدیدی را برای کاربران دستگاه‌های اندرویدی ایجاد می‌کنند، اطلاع‌رسانی شود.
بسیاری از برنامه‌های کاربردی با دریافت مجوزهای حساس با استفاده از مهندسی اجتماعی و یا عدم آگاهی کافی کاربران کاربران با دریافت مجوز اقدام به سرقت اطلاعات کاربران می‌کنند. اما از نکات مهم این است که افراد به ندرت مجوزهای درخواستی برنامه کاربردی اندرویدی را قبل از نصب مطالعه می‌کنند و بیشتر افراد برخوردی عادی و بی‌تفاوت به این مجوزها دارند.
مجوزهایی که نسبت به سایر مجوزها شایع‌تر هستند به دو دسته تقسیم می‌شوند: مجوزهایی که به برنامه کاربردی اجازه دسترسی به اطلاعات کاربر را می‌دهند و مجوزهایی که به برنامه کاربردی اجازه می‌دهند به‌صورت مستقیم با دستگاه تعامل داشته باشند.
مجوزهایی که جهت دریافت «اطلاعات کاربر» صادر می‌شوند، هر نوع اطلاعات مربوط به کاربر را پوشش خواهند داد و به همین ترتیب مجوزهای صادرشده مبتنی بر دسترسی به سخت‌افزار دستگاه نیز الزاماً بخش مشخصی از سخت‌افزار نخواهد بود. اگرچه هر برنامه کاربردی که درخواست دسترسی به اینترنت را داشته باشد، به‌منظور افزایش قابلیت‌های خود ممکن است به هر دو مجوز «اطلاعات کاربر» و «مجوز سخت‌افزار» نیاز داشته باشد.
این نوع مجوزها خیلی هم ساده و سطحی نیستند. اگر از این نوع مجوزها به‌درستی استفاده نشود، یک برنامه کاربردی با یکی از این مجوزها می‌تواند به‌صورت بالقوه برای دستگاه کاربر خرابی و تهدید ایجاد کند؛ برقراری تماس‌های بین‌الملل نیز می‌تواند نوع مخربی از این مجوزها باشد. البته این نوع از مجوزها به‌خودی‌خود به یک برنامه کاربردی اجازه دسترسی به اطلاعات کاربر را نمی‌دهند و باید کاربر مهر تائید را به آن برنامه کاربردی داده باشد.
مجموع مجوزهای درخواستی از یک برنامه کاربردی به‌صراحت نمی‌تواند مشخص کند برنامه مورد نظر توانایی دسترسی به چه مقدار از اطلاعات کاربر را خواهد داشت. تناقضی که وجود دارد این است که یک برنامه کاربردی می‌تواند تنها با یک مجوز توانایی دسترسی به‌تمامی اطلاعات کاربر را داشته باشد درحالی‌که یک برنامه کاربردی با تعداد مجوزهای درخواستی فراوان تنها قابلیت تعامل با اجزای سخت‌افزاری دستگاه موردنظر را خواهد داشت.
به همین منظور سازمان تنظیم مقررات و ارتباطات رادیویی (رگولاتوری) نیز پیامکی را با متن زیر به برخی از مشترکان اپراتورهای مخلتف فرستاده است:
«مشترک گرامی، به منظور جلوگیری از تحمیل هزینه بالا برای مکالمات خارج از کشور، لطفا ضمن دقت در شماره‌گیری با پیش‌شماره‌های ۰۰ بین‌الملل، از نصب نرم‌افزارهای غیرمعتبر و یا از منابع ناشناس خودداری کرده و در زمان نصب نرم‌افزار به دسترسی‌های درخواست‌شده توسط نرم‌افزار دقت کنید.»
شاید رد کردن یا اختیار دادن به مجوزهای درخواستی برنامه‌های کاربردی در حال نصب، ساده‌ترین کاری باشد که یک کاربر می‌تواند انجام دهد؛ اما نکته مهم این است که تا چه اندازه می‌توان تفاوت بین حفاظت و تأمین امنیت داده کاربر و نیز در اختیار قرار دادن تمام دارایی‌های شخص در دست توسعه‌دهنده برنامه کاربردی را درک کرد. پیامک سازمان رگولاتوری نیز هشداری به کاربران است تا هنگام نصب برنامه‌ها و مجوزهای درخواستی، دقت کافی به خرج دهند.

نفوذ یک تروجان به 3000 برنامه اندرویدی

به تازگی بیش از ۴۰۰ برنامه در گوگل پلی و نزدیک به ۳۰۰۰ برنامه دیگر در فروشگاه های دیگر، گرفتار تروجان DressCode شدند.

مهر: آزمایشگاه امنیتی کسپرسکی اعلام کرد: برنامه های مخرب زیادی به اپلیکیشن اندروید نفوذ کرده اند به نحوی که به تازگی بیش از ۴۰۰ برنامه در گوگل پلی و نزدیک به ۳۰۰۰ برنامه دیگر در فروشگاه های دیگر، گرفتار تروجان DressCode شدند.این بدافزار نام جالبی را پس از اولین رویت خود گرفته است: این تروجان برای اولین بار توسط محققان در آگوست ۲۰۱۶ کشف شد، در تعداد زیادی از برنامه هایی که تحت پوشش خود قرار داد، یک نوع برنامه بازی که برای دختران به بازار عرضه شده بود هم شامل می شد.

یکی از این بازی ها از ۱۰۰ هزار بار دانلود به ۵۰۰ هزار بار در گوگل پلی رسیده بود. همچنین اپلیکیشن های دیگری یافت شدند که توسط همین تروجان آلوده شده بودند. در آن زمان بیش از ۴۰۰ اپلیکیشن آلوده یافت شد که البته ۴۰ تا از آن ها در گوگل پلی دیده شدند. محققان پس از مشاهده این وضعیت به گوگل اخطار دادند و کمپانی برنامه های مخرب را از فروشگاه حذف کرد.

اما در آن زمان، گروهی دیگر از محققان به جستجو در مورد حقایق این تروجان علاقمند شدند و تصمیم به کاوشی عمیق تر و جستجو در دیگر فروشگاه های نرم افزار گرفتند.این گروه ۳۰۰ هزار برنامه آلوده که توسط تروجان DressCode آلوده شده بود را یافتند که بیش از ۴۰۰ برنامه از آن ها در گوگل پلی یافت شد.

بسیاری از برنامه های آلوده شده بیشتر بازی ها یا برنامه های مربوط به بازی ها هستند. برای مثال، برنامه هایی برای راهنمایی بازی کنندگان و تغییرات بازی ها.

بزرگترین مسئله با تروجان DressCode تشخیص و شناسایی آن است که بسیار دشوار است. کد این تروجان در مقایسه با کد برنامه حامل بسیار کوچک است. احتمالا به همین دلیل است که بسیاری از برنامه های مخرب از طریق گوگل پلی وارد شده بودند.

به طور کلی، تنها هدف DressCode ایجاد اتصالی به یک سرور فرماندهی و کنترل است. معمولا پس از اینکه اتصال برقرار شد، سرور دستوری را به تروجان ارسال می کند، آن را به حالت sleep می برد و در نتیجه تشخیص فوری آن تقریبا غیر ممکن می شود. هنگامی که هکر تصمیم به استفاده از دستگاه آلوده کرد، تروجان بیدار می شود و گوشی های هوشمند یا تبلت ها به یک پروکسی سرور تبدیل می شود و از آن برای هدایت ترافیک اینترنت استفاده می کنند.

دستگاه های آلوده می توانند به عنوان بخشی از یک بات نت برای تقاضای راهی به آدرس ای پی خاص استفاده شوند. این روش به مجرمان اجازه می دهد تا ترافیک را افزایش دهند، کلیک هایی را برای آگهی ها و گذاشتن URL ها ایجاد کنند و حملات DDoS را به منظور  down کردن یک وبسایت به کار گیرند.

در همین حال اگر یک دستگاه آلوده شود (مثلا یک گوشی هوشمند)، می تواند به برخی از منابع شبکه محلی دسترسی داشته باشد، مهاجمان هم می توانند دسترسی های آن را به دست گیرند و اطلاعات خاص دستگاه را به سرقت برند.

این شرکت امنیتی به کاربران اندروید توصیه کرده که برنامه های خود را از فروشگاه های رسمی دانلود کنند. جستجوی برنامه ها در گوگل پلی بسیار امن و حفاظت شده است زیراکه تمام اپلیکیشن ها قبل از اینکه به مرحله انتشار برسند، از طریق چند مرحله دقیق چک می شوند و سپس در صورت ایمنی کامل تصویب می شوند و روی فروشگاه قرار می گیرند، اما فقط این عملکرد کافی نیست. درست است که گوگل پلی به نسبت فروشگاه های معتبر دیگر آمار کمتری را برای برنامه های مخرب به خود اختصاص داده اما ۴۰۰ اپلیکیشن آلوده، رقم بسیار بالایی است.

براین اساس به کاربران توصیه می شود در هنگام دانلود اپلیکیشن ها بسیار محتاطانه عمل کنند. قبل از نصب یک برنامه ناشناخته، حتما نظرات کاربران را بررسی کرده و به امتیازات داده شده توسط دیگران توجه کنند.