۱۳۹۹/۸/۲۱ - ۹ : ۲۰

کشف بدافزاری که اطلاعات صدها اپ اندرویدی را سرقت می‌کند

کشف بدافزاری که اطلاعات صدها اپ اندرویدی را سرقت می‌کند

طبق جدیدترین گزارش کسپرسکی، به نظر می‌رسد این بدافزار اندرویدی توسط گروهی که بدافزار «Astaroth» یا «Guildma» را توسعه داده، به تولید رسیده است. به گفته این شرکت امنیت سایبری، این تروجان جدید اندرویدی به وسیله اپ‌های مخرب روی دستگاه‌ها نصب می‌شود و درون سایت‌ها و سرورهایی قرار گرفته که در گذشته برای عملیات Astaroth مورد استفاده بوده است.

توزیع این برنامه‌ها توسط فروشگاه رسمی پلی استور صورت نگرفته و بجای این کار، گروه Ghimob از ایمیل‌ها یا سایت‌های مخرب برای هدایت کاربران به سایت‌هایی که این اپ‌های اندرویدی را تبلیغ می‌کردند، هدایت کرده است.

این اپ‌ها از برنامه‌های رسمی و برندها تقلید می‌کنند که در میان آن‌ها نام‌هایی مانند گوگل دیفندر، گوگل داکس یا بروزرسانی فلش به چشم می‌خورد. اگر کاربری بدون توجه به تمام هشدارهای دستگاه خود تصمیم به نصب این برنامه‌ها بگیرد، این اپ‌ها به عنوان آخرین مرحله آلودگی دستگاه، درخواست دسترسی به سرویس «دسترسی‌پذیری» را ارائه می‌کنند.

اگر چنین اجازه‌ای به آن‌ها داده شود، این اپ‌ها گوشی کاربر را برای یک لیست حاوی 153 برنامه مورد جستجو قرار می‌دهند. این بدافزار در این اپلیکیشن‌ها صفحه ورود جعلی را به نمایش می‌گذارد تا مدارک کاربران را سرقت کند.

اکثر برنامه‌های هدف مربوط به بانک‌های برزیلی می‌شوند، اما در نسخه‌های بروز شده شاهد افزایش توانایی‌های آن و هدف قرار دادن بانک‌ها در آلمان، پرتغال، پرو، پاراگوئه، آنگولا و موزامبیک هستیم. بدافزار Ghimbo در بروزرسانی جدید خود اپ‌های صرافی‌های ارز دیجیتال را نیز هدف قرار می‌دهد تا بتواند به حساب‌های کاربران دسترسی پیدا کند.

پس از یک حمله موفق، اطلاعات و اعتبارنامه‌های کاربران برای گروه Ghimob ارسال می‌شود تا اعضای آن بتوانند به صورت کامل روی دستگاه کنترل داشته باشند و نسبت به هرگونه مشکل امنیتی واکنش نشان دهند. ویژگی‌های این بدافزار منحصر به فرد نیستند و برخی از آن‌‌ها را در گذشته در تروجان‌های «BlackRock» و «Alien» مشاهده کرده‌ایم.

 

منبع: دیجیاتو