سرقت اطلاعات بانکی توسط دو برنامه اندروید در Google Play

به گزارش عصرپرس به نقل از روابط عمومی مرکز مدیریت راهبردی افتای ریاست جمهوری، این دو برنامه: Currency Converter و BatterySaverMobi نام دارند و تعداد زیادی امتیاز پنج ستاره جعلی دریافت کرده‌اند.

با کمک یک صفحه به روز‌رسانی سیستمی جعلی، این دو برنامه سعی در اخذ امتیازات و دسترسی‌های سطح ادمین دارند.

نکته قابل توجه درباره این برنامه‌ها، توانایی استفاده از سنسور حرکتی برای تشخیص اجرا در یک sandbox تحلیل بدافزار است که در این صورت رفتار مخرب آن‌ها متوقف خواهد شد.

علاوه بر علاقه به جمع‌آوری اطلاعات بانکی، این گونه بدافزار‌ها دارای قابلیت‌های دیگری از قبیل توانایی‌های باج‌افزاری، تروجان (مانند ضبط صدا، ردیابی موقعیت مکانی)، ارسال پیامک‌های اسپم و تماس با شماره‌های خاص، هستند.

قسمت باج افزاری، فایل‌ها را رمزگذاری می‌کند و دنباله.Anubiscrypt را به آن‌ها اختصاص می‌دهد؛ نکته مهم این است که رمزگذاری یادشده روی آن دسته از گوشی‌هایی انجام می‌شود که احتمال وجود نسخه پشتیبان فایل‌ها در آن‌ها کمتر و احتمال وجود اطلاعات با ارزش و عکس‌های شخصی در آن‌ها بیشتر است.

بدافزار‌های کشف شده از نظر ساختار کد و استفاده از سرور مشترک کنترل و فرمان، به تروجان بانکی Anubis شباهت دارند.

تروجان Anubis برای حمله به ۳۷۷ برنامه مختلف بانکی از ۹۳ کشور در سراسر جهان و همچنین برنامه‌های غیربانکی مانند Amazon ، eBay و PayPal استفاده شده است.

هنگامی که تروجان بانکی Anubis روی دستگاه قربانی قرار گیرد، شروع به جمع‌آوری اطلاعات بانکی با استفاده از یک ماژول کلیدنگار داخلی می‌کند و یا با گرفتن عکس از صفحه نمایش، هنگام ورود اطلاعات به برنامه‌های بانکی، اطلاعات را به سرقت می‌برد.

منتقل‌کننده داخلی بدافزار، با درخواست‌های Twitter یا Telegram با سرور C&C خود تماس می‌گیرد و با استفاده از درخواست‌های HTTP POST خواستار دستورات جدید می‌شود. سپس سرور C&C لینک دانلود برنامه‌ای را ارسال خواهد کرد که توسط منتقل‌کننده بر روی دستگاه نصب می‌شود.

وجود برنامه‌های آلوده در Google Play نشان‌دهنده مهارت عاملان این برنامه‌ها است که با موفقیت، بدافزار خود را از لایه‌های دفاعی Google Play مخفی می‌کنند.

کارشناسان معاونت بررسی مرکز افتا، به دانلود کنندگان برنامه‌های اندرویدی Currency Converter و BatterySaverMobi توصیه می‌کنند که هر چه سریعتر این دو برنامه را از دستگاه‌های اندرویدی خود حذف و از دانلود برنامه‌های مشکوک و ناشناس خودداری کنند.