کلاهبرداری هکر‌ها از ۳۰۰ هزار کاربر اندروید

کلاهبرداری هکر‌ها از ۳۰۰ هزار کاربر اندروید
تاریخ انتشار : ۱۳ آذر ۱۴۰۰

هکر‌ها تعداد زیادی از کاربران اندروید را به سمت بدافزار‌هایی کشاندند که با استفاده از بدافزار رمزعبور آن‌ها را به سرقت برده است.

به گزارش گرداب - موسسه امنیت سایبری ThreatFabric اعلام کرده‌اند که بیش از ۳۰۰ هزار کاربر اندروید برنامه‌های تروجان نصب کرده‌اند که به طور مخفیانه اطلاعات بانکی‌ها را به سرقت برده است. با وجود این که این برنامه‌ها از پلتفرم گوگل حذف و غیرفعال شده است، هکر‌ها از روش‌های خاصی استفاده کرده‌اند تا بتوانند بدافزار را اجرا کنند. همه کاربران اندروید باید نگران این مسئله باشند.

هکر‌ها از انواع مختلف بدافزار استفاده کرده اند

در این گزارش تنها به چند برنامه مخرب اشاره شده است، اما آن‌ها شامل اسکنر‌های QR (بارکد اسکنر)، اسکنر پی‌دی‌اف، ردیاب‌های سلامتی و برنامه‌های مربوط به کریپتو بوده است.

برخلاف سایر برنامه‌های جعلی که به دروغ خصوصیاتی را تبلیغ می‌کنند، بسیاری از برنامه‌هایی که در این گزارش به آن‌ها اشاره شده است با وجود این که دارای بدافزار بوده‌اند، اما کاری که ادعا می‌کردند را نیز انجام می‌دادند.

اما در پشت صحنه این برنامه‌ها به سرقت رمزعبور کاربران و سایر داده‌های کاربر مشغول بوده‌اند.
محققان براساس نوع بدافزاری که استفاده شده است، این برنامه‌ها را به چهار خانواده مشخص تقسیم کرده‌اند:

آناتسا (Anatsa): بزرگترین این مجموعه‌ها با بیش از ۲۰۰ هزار بار دانلود، از یک تروجان بانکی با نام آناتسا استفاده می‌کردند. این تروجان از دسترسی برای ضبط تصویر اندروید برای سرقت اطلاعات ورود کاربر و سایر داده‌های شخصی استفاده کرده است.

بیگانه (Alien): دومین تروجان پر دانلود، بیگانه نام دارد که بر روی ۹۵ هزار دستگاه نصب شده است. بیگانه در فرایند احراز هویت دو عاملی مداخله کرده و از این طریق هکر‌ها می‌توانستند به حساب بانکی کاربر ورود کنند.

هایدرا (Hydra) و ارماک (Ermac): این دو خانواده پایانی از بدافزار‌های هایدار و ارماک استفاده کردند که هر دو به گروه مجرمان سایبری برونیلدا مرتبط هستند.

این گروه از این بدافزار‌ها برای دسترسی از راه دور به دستگاه کاربر و سرقت اطلاعات بانکی استفاده می‌کردند. در این گزارش تعداد نصب این دو تروجان بیش از ۱۵ هزار دانلود ذکر شده است.

کلاهبرداری هکر‌ها از ۳۰۰ هزار کاربر اندروید

چطور این بدافزار‌ها از اقدامات امنیتی گوگل عبور کردند؟

در این گزارش، این برنامه‌ها به عنوان مخرب به گوگل معرفی شده است و در نتیجه این برنامه‌ها پس از گزارش از پلی استور گوگل حذف شدند و بر روی هر دستگاهی که نصب شده بودند، غیرفعال شدند. اما خطر اصلی در این است که چطور هکر‌ها توانستند این بدافزار را در این برنامه‌ها قرار دهند؟

معمولاً پلی‌استور ادعا می‌کند که برنامه‌ها با کد‌های مشکوک را شناسایی و حذف می‌کند. اما در این مثال‌ها بدافزار برنامه اصلی قرار نداشته است، بلکه بدافزار بعد از نصب در یک به‌روزرسانی که کاربران مجبور به آن شده بودند، اضافه شده بود.

با استفاده از این روش ساده، هکر‌ها توانسته بودند بدون این که گوگل آن‌ها را شناسایی کند، بدافزار را وارد کنند و از آنجا که برنامه‌ها کاری که مدعی آن بودند را نیز انجام می‌دادند، کاربران مسئله‌ای مشکوکی را نیافته بودند.

این مسئله بار دیگر نشان می‌دهد که اقدامات پلی استور نمی‌تواند امنیت کاربران اندروید را حفظ کند.