بازگشت BankBot به پلی‌استور

خلاصه: محققان دو کمپین جدید بدافزاری را که کاربران پلی‌استور را هدف قرارداده‌اند را کشف کردند که یکی از آن‌ها نسخه‌ی جدید BankBot،  یک خانواده‌ی ماندگار از تروجان‌های بانکی است که از برنامه‌های بانکی واقعی برای سرقت اطلاعات کاربران استفاده می‌کند. BankBot توانایی انجام طیف وسیعی از وظایف مانند ارسال و دریافت پیام‌، برقراری تماس، ردیابی دستگاه‌های آلوده و سرقت مخاطبین را داراست.

حتی پس از تلاش‌های بسیار گوگل برای دورنگه داشتن پلی‌استور از بدافزار، برنامه‌های مشکوک به نحوی موفق به دور زدن حفاظت‌های ضدبدافزار‌شده و کاربران را با نرم‌افزار‌های مخرب آلوده می‌کنند.

یک گروه از محققان از چندین شرکت امنیتی، دو کمپین جدید بدافزاری را که کاربران پلی‌استور را هدف قرارداده‌اند را کشف کردند که یکی از آن‌ها نسخه‌ی جدید BankBot،  یک خانواده‌ی ماندگار از تروجان‌های بانکی است که از برنامه‌های بانکی واقعی برای سرقت اطلاعات کاربران استفاده می‌کند.

BankBot برای نمایش یک پوشش جعلی روی برنامه‌های بانکی برای دزدیدن اطلاعات حساس مانند اطلاعات ورود و جزئیات کارت اعتباری طراحی شده است. BankBot توانایی انجام طیف وسیعی از وظایف مانند ارسال و دریافت پیام‌، برقراری تماس، ردیابی دستگاه‌های آلوده و سرقت مخاطبین را داراست.

گوگل حداقل ۴ نسخه‌ی قبلی از این تروجان را از پلی‌استور حذف کرده است؛ اما برنامه‌های BankBot همیشه راهی برای ورود به پلی‌استور ایجاد کرده و قربانیان از بانک‌های بزرگ سرتاسر جهان را هدف قرار می‌دهند.

کمپین دوم که توسط محققان کشف شد، نه‌تنها همین تروجان BankBot، بلکه Mazar و RedAlert را نیز توزیع می‌کنند.

براساس تحلیل‌های انجام‌شده توسط تیم محققان Avast و ESET وsfyLabs، آخرین نوع از BankBot در برنامه‌های اندرویدی که به‌نظر مورد اعتماد می‌آیند، مانند برنامه‌های چراغ‌قوره پنهان شده‌بود.

برنامه‌های مخرب BankBot از تکنیک‌های ویژه برای دور زدن بررسی‌های اتوماتیک گوگل استفاده می‌کند. بعد از فریب‌ دادن قربانیان برای دانلود برنامه‌ها، این بدافزارها به‌ جستجوی برنامه‌های نصب‌ شده بر روی موبایل قربانی می‌پردازند. این برنامه‌ی مخرب دارای یک لیست ۱۶۰ تایی از برنامه‌ها می باشد. به‌گفته‌ی محققان، این لیست شامل تعداد زیادی از برنامه‌های بانک‌ها و موسسه‌های مالی در سرتاسر جهان می‌باشد. اگر یکی از برنامه‌ها را بر روی موبایل قربانی پیدا کند شروع به دانلود فایل APK این تروجان از سرور کنترل و فرمان خود می‌کند و سعی می‌کند تا قربانی را برای گرفتن دسترسی مدیر فریب دهد.

زمانی که امتیاز ادمین را دریافت کرد، یک پوشش را بر روی برنامه‌های قانونی نمایش می‌دهد.

ازآنجایی که بسیاری از بانک‌ها از احراز اصالت دو عاملی استفاده می‌کنند این تروجان دارای قابلیت‌هایی برای قطع کردن پیام‌های متنی است که به مجرمان سایبری پشت این بدافزار امکان دزدیدن شماره تراکنش موبایل ارسال شده به تلفن مشتری را می‌دهد.

گوگل اخیراً همه‌ی برنامه‌های BankBot کشف‌شده را حذف کرده است. اگرچه این یک نگرانی پایان‌ناپذیر است، بهترین راه برای محافظت این است که همیشسه هنگام دانلود از پلی‌استور مراقب باشید.

اگرچه برنامه‌های bankBot با استفاده از پلی‌استور توزیع‌شده‌اند اما پیلود آن از یک منبع خارجی دانلود شده است؛ بنابراین به هیچ منبع سومی اجازه‌ی دانلود فایل APK بر روی گوشی هوشمند خود را ندهید.

بری این کار به قسمت تنظیمات رفته در قسمت security گزینه‌ی «Allow installation of apps from sources other than the Play Store» را خاموش کنید.

و مهم‌تر از همه مراقب باشید که به چه برنامه‌های دسترسی ادمین می‌دهید چراکه این قابلیت می‌تواند کنترل کامل برنامه‌ها را فراهم کند.