نصب بدافزار روی موبایل با تماس از سوی هکر‌ها

نصب بدافزار روی موبایل با تماس از سوی هکر‌ها
تاریخ انتشار : ۱۹ ارديبهشت ۱۴۰۰

هکر‌ها اخیراً با استفاده از تماس تلفنی، سعی کردهاند تا رایانه‌ها را ویروسی کنند.

به گزارش گرداب، محققان در حال تحقیق دربارهی کمپین بدافزار جدید به نام BazarCall هستند. یکی از مهمترین بدافزار‌های آن، تروجانِ (Trojan) BazarLoader برای دسترسی از راه دور است که باعث میشود هکر‌ها بتوانند به رایانهی شما دسترسی پیدا کرده و بدافزار‌های بیشتری را نصب کنند.


این حمله با ارسال یک ایمیل درمورد پایان اشتراک آزمایشی سرویس پزشکی رایگان که گویا قبلاً برای آن ثبت نام کردهاید، شروع میشود و به شما خبر میدهد که در چند روز آینده از کارت اعتباری شما پولی به مقدار ۹۰$ یا بیشتر برداشت خواهد شد. بر اساس گزارش The Record and Bleeping Computer، عنوان ایمیل چیزی شبیه به با تشکر از شما به خاطر استفاده از دورهی آزمایشی رایگان یا آیا مایلید دورهی رایگان خود را تمدید کنید؟ و ... است. یک محقق امنیتی که خود را نابودگر بدافزار مینامد، لیستی از عنوان‌های ایمیل احتمالیای را که BazarCall استفاده میکند، پست کرده است.


مسلماً از دیدن این ایمیل تعجب خواهید کرد و حاضر نخواهید بود تا برای چیزی که هرگز با آن موافقت نکردهاید، پولی پرداخت کنید. در متن این ایمیل، شماره شناسهی اشتراک و شماره تلفنی نوشته شده که میتوانید برای لغو اشتراک با آن شماره تلفن تماس بگیرید و شماره شناسهی اشتراک خود را به فرد پشت تلفن اعلام کنید.
آیا این یک ایمیل فیشینگ محسوب می شود؟
در ایمیل‌های فیشینگ، لینکی وجود دارد که از شما میخواهد روی آن کلیک کنید و بعداً شما را وارد سایتی میکند که رمزعبورتان یا اجازهی نصب برنام‌های را در رایانهی شما درخواست می‌کند.


اما در این نوع ایمیل‌ها هیچ لینکی وجود ندارد و فقط شماره تلفنی برای تماس نوشته شده است. وقتی با این شماره تماس میگیرید بعد از کمی منتظر ماندن پشت خط تلفن، شخصی به شما جواب میدهد که هرگز شک نمیکنید که آن فرد یکی از اعضای تیم پشتیبانی فناوری نیست! و او به سوالات شما دربارهی ایمیلی که دریافت کردهاید، پاسخ میدهد.


از شما شماره شناسه اشتراکی را که در متن ایمیل نوشته شده است، درخواست می‌کند. نکتهی اصلی اینجاست که کلاهبرداران با استفاده از شماره شناسهی اشتراک، تشخیص میدهند که شما چه کسی هستید و بیشتر مواقع افرادی را که جزو کارکنان شرکت‌های خاصی هستند، هدف قرار میدهند.

متاسفیم، لطفاً این فرم را پر کنید...
فردی که با آن تماس گرفتهاید شماره شناسهی اشتراک شما را بررسی میکند و به شما میگوید که شخصی غیر از شما برای خرید این اشتراک ثبتنام کرده است، پس حتماً اشتباهی رخ داده است.

این پشتیبان مشتری که دوستانه با شما برخورد میکند، به شما میگوید که، چون این اشتراک مربوط به خدمات پزشکی میشود باید برخی از فرم‌ها را به صورت آنلاین پر کنید تا اشتراک لغو شود. او شما را به یک وبسایتی که حرف‌های طراحی شده، منتقل میکند تا روند لغو اشتراک را ادامه دهید.


حداقل پنج وبسایت تقلبی احتمالی وجود دارد. وبسایت‌هایی که ما بررسی کردیم، همه شبیه به هم بودند، اما یک نفر تلاش زیادی کرده است تا این سایت‌ها خوب و حرف‌های به نظر برسند. این وبسایت‌ها بخش‌های FAQs (سوالات متداول)، بیانیه‌های مربوط به حریم خصوصی، نحوهی استفاده و حتی اطلاعات تماس مانند آدرس دفتر در لس آنجلس و شماره تلفن‌های تماس در جنوب کالیفرنیا را نیز دارند.

ما با چند شماره تلفن ثبت شده تماس گرفتیم، اما جوابی دریافت نکردیم. همچنین متوجه شدیم که هر پنج سایتی که قبلاً بررسی کرده بودیم، در هفتهی گذشته توسط یک آدرس ایمیل روسی و با همان یک اسم مستعار مدیریت شدهاند....، اما اول باید آن را دانلود کنید

در هنگام تماس با پشتیبانی، او از شما میخواهد تا وارد صفح‌های در سایت شوید و روی گزینهی لغو اشتراک کلیک کنید. اما در قسمت لغو اشتراک از شما نام یا آدرس ایمیلی درخواست نمیشود و به جای آن مجدداً شماره شناسهی اشتراکتان را میخواهد. وقتی گزینهی ثبت را میزنید، مروگر شما میخواهد که فایل اکسل یا وردی را دانلود کنید. پشتیبان نیز به شما میگوید که برای لغو اشتراک باید این سند را دانلود کرده، باز کنید و امضا بزنید.


این فایل‌های دانلود شده آنقدر خطرناک هستند که سندباکسِ ویندوز اجازه نمیدهد تا بدون رضایت شما این فایل‌ها روی دستگاه اجرا شوند. اما پشتیبان پشت تلفن اصرار میکند تا روی نوار زردی که در بالای فایل اکسل یا ورد ظاهر میشود کلیک کنید تا ماکرو‌ها فعال شوند و بتوانید سند را امضا کنید.

حالا دستگاه شما ویروسی میشود

به محض فعال کردن ماکروها، فایل ورد یا اکسلی که دانلود کردهاید، یک dropper را روی دستگاه شما نصب میکند. Dropper نوعی بدافزار است که به اینترنت متصل شده و بدافزار‌های بیشتری را دانلود و نصب میکند. در این حالت، این بدافزار ممکن است BazarLoader باشد که پیشتر به آن اشاره کردیم یا حتی بدتر از آن، یک TrickBot باشد. به محض فعال شدن یکی از این بدافزار‌ها روی دستگاه شما، کلاهبرداران میتوانند نرمافزار botnet، استخراج کنندهی سکه و یا حتی باجافزار را روی دستگاه شما نصب کنند.


اگر دستگاه شما بخشی از شبکهی شرکت باشد، بدافزار به سرعت روی تمام دستگاه‌های شرکت نصب میشود. اما شما از این موضوع آگاه نیستید. شما فقط میدانید که در حال پر کردن یک فرم برای لغو اشتراک ناخواسته و گران قیمت هستید. پس از اتمام کار، اپراتور مرکز تماس با خوشحالی به شما میگوید که با موفقیت اشتراک شما لغو شده است و روز خوبی را برای شما آرزو میکند.

چگونه میتوانید جلوی این کلاهبرداری را بگیرید؟ اول مطمئن شوید که بهترین نرم‌افزار ضدویروس را روی دستگاه خود نصب کردهاید. دوم، از دانلود هرگونه فایل آفیس و فعال کردن ماکرو‌ها خودداری کنید.