سرقت اطلاعات بانکی توسط دو برنامه اندروید در Google Play

سرقت اطلاعات بانکی توسط دو برنامه اندروید در Google Play
تاریخ انتشار : ۰۳ بهمن ۱۳۹۷

دو برنامه اندروید که آلوده به بدافزارهای بانکی شده بودند، در فروشگاه Google Play یافت شدند. این دو برنامه روی هزاران دستگاه اندرویدی نصب شده‌اند و تعداد زیادی امتیاز پنج ستاره جعلی دریافت کرده‌اند.

به گزارش گرداب، بدافزارهای کشف شده از نظر ساختار کد و استفاده از سرور مشترک کنترل و فرمان، به تروجان بانکی  Anubis شباهت دارند. این بدافزار در دو سال گذشته دستگاه‌های اندرویدی را هدف قرار داده است.

این دو برنامه Currency Converter و BatterySaverMobi نام دارند. نکته قابل توجه درباره این برنامه‌ها، توانایی استفاده از سنسور حرکتی برای تشخیص اجرا در یک sandbox تحلیل بدافزار است که در این صورت رفتار مخرب آن‌ها متوقف خواهد شد.

با کمک یک صفحه به‌روزرسانی سیستمی جعلی، این دو برنامه سعی در اخذ امتیازات و دسترسی‌های سطح ادمین دارند.

منتقل‌کننده داخلی بدافزار، با درخواست‌های Twitter یا  Telegramبا سرور C&C خود تماس می‌گیرد و با استفاده از درخواست‌های HTTP POST خواستار دستورات جدید می‌شود. سپس سرور C&C لینک دانلود برنامه‌ای را ارسال خواهد کرد که توسط منتقل‌کننده بر روی دستگاه نصب می‌شود.

هنگامی که تروجان بانکی Anubis روی دستگاه قربانی قرار گیرد، شروع به جمع‌آوری اطلاعات بانکی با استفاده از یک ماژول کلیدنگار داخلی می‌کند و یا با گرفتن عکس از صفحه‌نمایش، هنگام ورود اطلاعات به برنامه‌های بانکی، اطلاعات را به سرقت می‌برد.

تروجان Anubis برای حمله به ۳۷۷ برنامه مختلف بانکی از ۹۳ کشور در سراسر جهان و همچنین برنامه‌های غیربانکی مانند Amazon،eBay  و PayPal مورد استفاده قرارگرفته است.

علاوه بر علاقه به جمع‌آوری اطلاعات بانکی، این گونه بدافزارها دارای قابلیت‌های دیگری از قبیل توانایی‌های باج‌افزاری، تروجان (مانند ضبط صدا، ردیابی موقعیت مکانی)، ارسال پیامک‌های اسپم و تماس با شماره‌های خاص هستند.

قسمت باج‌افزاری، فایل‌ها را رمزگذاری می کند و دنباله .Anubiscrypt را به آن‌ها اختصاص می‌دهد. نکته مهم این است که این رمزگذاری روی گوشی انجام می‌شود که احتمال وجود نسخه پشتیبان فایل‌ها در آن کمتر و احتمال وجود اطلاعات باارزش و عکس‌های شخصی در آن بیشتر است.

وجود برنامه‌های آلوده در Google Play نشاندهنده مهارت عاملان این برنامه‌ها است که با موفقیت بدافزار خود را از لایه‌های دفاعی Google Play مخفی می‌کنند.



منبع: افتا