info[at]nsec.ir
(+۹۸)-۳۱-۳۳۹۱۵۳۳۶

بازگشت تروجان بانکی مشهور به گوگل‌پلی

خلاصه: تروجان بانکی خطرناک BankBot که در اوایل سال میلادی در گوگل‌پلی، فروشگاه رسمی برنامه‌های اندرویدی، مشاهده شده بود، با تغییراتی دوباره راه خود را به این فروشگاه باز نموده و دستگاه‌های اندرویدی را هدف قرار داده است.

 

تروجان بانکی BankBot از تروجان‌های بانکی خطرناک است که کاربران اندرویدی را هدف قرار داده است. این تروجان که در اوایل سال میلادی در گوگل‌پلی مشاهده شده بود دوباره توانسته با فریب مکانیزم‌های امنیتی گوگل‌پلی به آن راه پیدا کند.

این بار تروجان خود را به نام Jewels Star Classic جا زده که نامی شبیه یک برنامه معروف و پر طرفدار با نام Jewels Star است و امیدوار بوده با این شباهت اسمی بتواند قربانیان زیادی را به دست آورد. برنامه آلوده قبل از اینکه از روی گوگل‌پلی پاک شود ۵ هزار بار دانلود شده است.

بر اساس گزارش شرکت ESET کاربرانی که این برنامه آلوده را دریافت کرده‌اند، با یک بازی عادی مواجه شده‌اند که البته یک بدافزار بانکی در منابع بازی مخفی شده و سرویس خود را پس از یک تاخیر از پیش تعیین شده شروع می‌کند.

سرویس خرابکارانه پس از ۲۰ دقیقه پس از اجرای بازی آلوده شروع به کار کرده و یک پیام به کاربر نشان می‌دهد که از کاربر می‌خواهد چیزی را به اسم Google Service فعال کند. پس از کلیک روی OK که تنها راه توقف نشان دادن این پیام است کاربر به قسمت دسترسی اندروید هدایت شده و لیستی از اجازه‌های مورد نیاز را مشاهده می‌نماید. اجازه‌هایی از قبیل مشاهده اعمال، دسترسی به محتوای پنجره، روشن کردن جستجو با لمس، روشن کردن دسترسی بهبود یافته به وب و موارد دیگر. با کلیک بر روی OK به بدافزار اجازه دسترسی به این امکانات داده شده و بدافزار اجازه اجرای سرویس دسترسی را پیدا می‌کند. با این اجازه دسترسی بدافزار می‌تواند همه کارهای مورد نظر خود را بدون دخالت کاربر انجام دهد.

بدافزار با استفاده از این اجازه دسترسی اقدام به نصب و اجرای BankBot کرده و آن را به عنوان برنامه پیش‌فرض پیامک جایگزین می‌کند. این مساله برای به دست آوردن پیامک‌هایی است که برای احراز هویت دو عاملی استفاده می‌شود. همچنین اجازه استخراج اطلاعات از دیگر برنامه‌ها را کسب می‌نماید تا بتواند اطلاعات کارت‌های بانکی را سرقت نماید.

ترکیب تکنیک‌های مختلف در این نسخه از این تروجان بانکی امکان تشخیص آن را بسیار دشوار نموده است. سو استفاده از قابلیت دسترسی اندروید، جعل عنوان گوگل و تنظیم یک تایمر تاخیر برای فعالیت‌های خرابکارانه موجب شده که این برنامه آلوده دوباره بتواند در گوگل‌پلی منتشر شده و از دید مکانیزم‌های امنیتی پنهان بماند. همچنین ارتقای ماهرانه مبهم‌سازی کد‌ها، قرار دادن ماهرانه بدافزار در فایل‌های بازی و روشی زیرکانه برای آلوده کردن دستگاه‌های اندرویدی با استفاده از قابلیت دسترسی موجب پیچیده شدن این بدافزار و کمک به مخفی ماندن آن از دید برنامه‌های امنیتی بوده است.

سیستم‌عامل اندروید با توجه به کاربران زیادی که دارد همواره مورد توجه هکرها بوده است. مکانیزم‌های امنیتی فراوانی هم که هر روزه برای افزایش امنیت این سیستم‌عامل محبوب اضافه شده‌اند، گاهی در مقابل حملات مختلف نمی‌توانند امنیت کامل را تامین کنند. از این رو لازم است که کاربران نیز متوجه امنیت خود بوده و از نصب برنامه‌های متفرقه حتی از گوگل‌پلی خودداری کنند.

مطالب مرتبط

تحت نظارت وف ایرانی