هکرها تعداد زیادی از کاربران اندروید را به سمت بدافزارهایی کشاندند که با استفاده از بدافزار رمزعبور آنها را به سرقت برده است.
به گزارش گرداب - موسسه امنیت سایبری ThreatFabric اعلام کردهاند که بیش از ۳۰۰ هزار کاربر اندروید برنامههای تروجان نصب کردهاند که به طور مخفیانه اطلاعات بانکیها را به سرقت برده است. با وجود این که این برنامهها از پلتفرم گوگل حذف و غیرفعال شده است، هکرها از روشهای خاصی استفاده کردهاند تا بتوانند بدافزار را اجرا کنند. همه کاربران اندروید باید نگران این مسئله باشند.
هکرها از انواع مختلف بدافزار استفاده کرده اند
در این گزارش تنها به چند برنامه مخرب اشاره شده است، اما آنها شامل اسکنرهای QR (بارکد اسکنر)، اسکنر پیدیاف، ردیابهای سلامتی و برنامههای مربوط به کریپتو بوده است.
برخلاف سایر برنامههای جعلی که به دروغ خصوصیاتی را تبلیغ میکنند، بسیاری از برنامههایی که در این گزارش به آنها اشاره شده است با وجود این که دارای بدافزار بودهاند، اما کاری که ادعا میکردند را نیز انجام میدادند.
اما در پشت صحنه این برنامهها به سرقت رمزعبور کاربران و سایر دادههای کاربر مشغول بودهاند.
محققان براساس نوع بدافزاری که استفاده شده است، این برنامهها را به چهار خانواده مشخص تقسیم کردهاند:
آناتسا (Anatsa): بزرگترین این مجموعهها با بیش از ۲۰۰ هزار بار دانلود، از یک تروجان بانکی با نام آناتسا استفاده میکردند. این تروجان از دسترسی برای ضبط تصویر اندروید برای سرقت اطلاعات ورود کاربر و سایر دادههای شخصی استفاده کرده است.
بیگانه (Alien): دومین تروجان پر دانلود، بیگانه نام دارد که بر روی ۹۵ هزار دستگاه نصب شده است. بیگانه در فرایند احراز هویت دو عاملی مداخله کرده و از این طریق هکرها میتوانستند به حساب بانکی کاربر ورود کنند.
هایدرا (Hydra) و ارماک (Ermac): این دو خانواده پایانی از بدافزارهای هایدار و ارماک استفاده کردند که هر دو به گروه مجرمان سایبری برونیلدا مرتبط هستند.
این گروه از این بدافزارها برای دسترسی از راه دور به دستگاه کاربر و سرقت اطلاعات بانکی استفاده میکردند. در این گزارش تعداد نصب این دو تروجان بیش از ۱۵ هزار دانلود ذکر شده است.
چطور این بدافزارها از اقدامات امنیتی گوگل عبور کردند؟
در این گزارش، این برنامهها به عنوان مخرب به گوگل معرفی شده است و در نتیجه این برنامهها پس از گزارش از پلی استور گوگل حذف شدند و بر روی هر دستگاهی که نصب شده بودند، غیرفعال شدند. اما خطر اصلی در این است که چطور هکرها توانستند این بدافزار را در این برنامهها قرار دهند؟
معمولاً پلیاستور ادعا میکند که برنامهها با کدهای مشکوک را شناسایی و حذف میکند. اما در این مثالها بدافزار برنامه اصلی قرار نداشته است، بلکه بدافزار بعد از نصب در یک بهروزرسانی که کاربران مجبور به آن شده بودند، اضافه شده بود.
با استفاده از این روش ساده، هکرها توانسته بودند بدون این که گوگل آنها را شناسایی کند، بدافزار را وارد کنند و از آنجا که برنامهها کاری که مدعی آن بودند را نیز انجام میدادند، کاربران مسئلهای مشکوکی را نیافته بودند.
این مسئله بار دیگر نشان میدهد که اقدامات پلی استور نمیتواند امنیت کاربران اندروید را حفظ کند.
