به گزارش
گرداب، بدافزارهای کشف شده از نظر ساختار کد و استفاده از سرور مشترک کنترل و فرمان، به تروجان بانکی Anubis شباهت دارند. این بدافزار در دو سال گذشته دستگاههای اندرویدی را هدف قرار داده است.
این دو برنامه Currency Converter و BatterySaverMobi نام دارند. نکته قابل توجه درباره این برنامهها، توانایی استفاده از سنسور حرکتی برای تشخیص اجرا در یک sandbox تحلیل بدافزار است که در این صورت رفتار مخرب آنها متوقف خواهد شد.
با کمک یک صفحه بهروزرسانی سیستمی جعلی، این دو برنامه سعی در اخذ امتیازات و دسترسیهای سطح ادمین دارند.
منتقلکننده داخلی بدافزار، با درخواستهای Twitter یا Telegramبا سرور C&C خود تماس میگیرد و با استفاده از درخواستهای HTTP POST خواستار دستورات جدید میشود. سپس سرور C&C لینک دانلود برنامهای را ارسال خواهد کرد که توسط منتقلکننده بر روی دستگاه نصب میشود.
هنگامی که تروجان بانکی Anubis روی دستگاه قربانی قرار گیرد، شروع به جمعآوری اطلاعات بانکی با استفاده از یک ماژول کلیدنگار داخلی میکند و یا با گرفتن عکس از صفحهنمایش، هنگام ورود اطلاعات به برنامههای بانکی، اطلاعات را به سرقت میبرد.
تروجان Anubis برای حمله به ۳۷۷ برنامه مختلف بانکی از ۹۳ کشور در سراسر جهان و همچنین برنامههای غیربانکی مانند Amazon،eBay و PayPal مورد استفاده قرارگرفته است.
علاوه بر علاقه به جمعآوری اطلاعات بانکی، این گونه بدافزارها دارای قابلیتهای دیگری از قبیل تواناییهای باجافزاری، تروجان (مانند ضبط صدا، ردیابی موقعیت مکانی)، ارسال پیامکهای اسپم و تماس با شمارههای خاص هستند.
قسمت باجافزاری، فایلها را رمزگذاری می کند و دنباله .Anubiscrypt را به آنها اختصاص میدهد. نکته مهم این است که این رمزگذاری روی گوشی انجام میشود که احتمال وجود نسخه پشتیبان فایلها در آن کمتر و احتمال وجود اطلاعات باارزش و عکسهای شخصی در آن بیشتر است.
وجود برنامههای آلوده در Google Play نشاندهنده مهارت عاملان این برنامهها است که با موفقیت بدافزار خود را از لایههای دفاعی Google Play مخفی میکنند.
منبع: افتا
