کد منبع بدافزار اندرویدی GM Bot لو رفت

براساس گفته‌ی متخصصان امنیتی IBM کد منبع بدافزار قوی اندرویدی به نام GM bot برای بازارهای زیرزمینی فاش شده است.
IBM می‌گوید که تأثیر آن افزایشی در تعداد GM Bot و تعداد حملات به برنامه‌های کاربردی مالی روی دستگاه‌های اندرویدی خواهد بود.
براساس گزارش لیمور کاسیم، تحلیل‌گر امنیتی IBM trusteer می‌توان گفت که کد منبع GM Bot در روز ۱۵ دسامبر آشکار شده است. کاسیم در گزارشش نوشت که یک خریدار GM Bot کد را به منظور به دست آوردن احترام بین همتایان پخش کرده است. کد منبع GM Bot حاوی بدافزار، کنترل پنل، خودآموز و دستورالعمل‌های نصب کارگزار می‌باشد.
کاسیم نوشت: «اگرچه GM Bot ممکن است به کارآمدی و قدرتمندی تروجان‌های بانک‌داری عمده نباشد اما مشخصاً یک تغییردهنده‌ی بازی در محدوده‌ی تهدیدات تلفن همراه می‌باشد. افشای کد منبع آن، شبیه به افشای زئوس، باعث تنوع بسیاری در این نوع بدافزارها می‌شود.»
این GM Bot از یک آسیب‌پذیری کشف‌شده در نسخه‌های قدیمی‌تر سامانه‌ی عامل اندروید گوگل (پیش از انتشار نسخه‌ی اندروید) به نام نفوذ فعال سوءاستفاده کرده است. این بدافزار به نفوذگرها اجازه می‌دهد که یک جای‌گذاری ایجاد کنند که بالای برنامه‌های کاربردی قانونی به نمایش گذاشته می‌شود. سپس این جای‌گذاری اطلاعات اعتباری احراز هویت کاربران را جمع آوری کرده و آن‌ها را برای نفوذگر می‌فرستد.
کاسیم به ThreatPost گفت: «هنگامی که کد منبع این بیرون است هرکسی می‌تواند از آن استفاده کند و با آن هرکاری که بخواهد بکند. داشتن این کد منبع مانند داشتن دستور کار است. می‌توانید آن را پیشرفت دهید، آن را رونویسی کرده یا آن را به طور رایگان پخش کنید.»
به طور کلی GMBot در سال ۲۰۱۴ کشف و توسط مجرمان سایبری در بازارهای زیر زمینی به فروش گذاشته شد. طبق گفته‌ی کاسیم، نسخه اصلی حق توزیع GM Bot v۱ را به مجرم سایبری دیگری فروخت که وی هم آن را با نام MazarBot و به مبلغ ۵۰۰ دلار فروخت. نویسنده این کد در حال حاضر در حال فروش نسخه دوم GM Bot در بازارهای زیرزمینی می‌باشد.
در مورد MazarBot، محققان در مرکز امنیتی Heimdal اوایل این ماه گزارش دادند که این روبات توسط SMS و MMS به گوشی‌های همراه اندرویدی مورد هدف حمله‌های فعال فرستاده می‌شود. سپس دریافت‌کنندگان این پیام‌ها برای اجرای نصب یک برنامه‌ی کاربردی تطمیع می‌شوند. اگر این برنامه اجرا شود، این بدافزار به نفوذگر اجازه‌ی دسترسی به تلفن را می‌دهد و نفوذگر به وسیله‌ی آن ‌می‌تواند روی هرگونه فعالیتی که درون تلفن همراه انجام می‌شود جاسوسی کند از جمله انتشار یک اتصال در پشتی، ارسال پیام‌های متنی حق‌الزحمه‌ها‌، خواندن پیام‌هایی که به این دستگاه فرستاده می‌شوند مانند پین‌های احراز هویت بانکی.
کاسیم دسترسی به کد Gm Bot را با انتشار تروجان‌های رایانه‌های شخصی که شامل زئوس، spyEye و Carberp می‌باشند، مقایسه کرد. اما بر خلاف تروجان‌های پیشین، تفاوت آن‌ها در ماهیت مهم GM Bot و توانایی‌اش نه‌تنها برای به سرقت بردن کدهای SMS یا دادن توانایی‌های نمایش جای‌گذاری به مجرمان سایبری توانمند است بلکه می‌تواند هردوی آن‌ها را با هم انجام دهد.
کاسیم گفت آنچه که باعث می‌شود GM Bot منحصر‌به‌فرد باشد، گسترش نمایش‌های جای‌گذاری روی برنامه‌های کاربردی بانک‌داری در جال اجرا می‌باشد. وی افزود که این جای‌گذاری کاربران را برای وارد کردن رمزهای دسترسی‌شان به یک پنجره‌ی قلابی فریب می‌دهد که بدین ترتیب اطلاعات آن‌ها دزدیده و به نفوذگر از راه دور فرستاده می‌شود.
کاسیم گفت که GM Bot یک خرید فریب‌دهنده‌ی یک‌مرحله‌ای است. در کنار پنجره‌ی جای‌گذاری قلابی که برنامه‌های کاربردی‌ بانکی را تقلید می‌کند، GM Bot نه‌تنها از پیام‌های SMS جلوگیری می‌کند بلکه آن‌ها را از دستگاه اندرویدی هدف ارسال و هم‌چنین تماس‌های تلفنی را نیز می‌فرستد و به نفوذگرها کنترلی از راه دور می‌دهند.
وی افزود که GM Bot یک ویژگی برای بدافزار دارد که به نفوذگرها اجازه می‌دهد که به برنامه‌ها‌ی کاربردی‌ جدید با نمایش جای‌گذاری قلابی اضافی مورد هدف قرار دهند. مجرم سایبری می‌تواند به طور مستقیم از کنترل پنل GM Bot، کد را به گوشی یک قربانی بفرستد که می‌تواند جای‌گذاری‌هایی برای برنامه‌های بانک‌داری خاص، گوگل‌پلی یا هر برنامه‌ی دیگری که نفوذگر انتخاب کند، ایجاد کند.
مجرمان سایبری در پست‌های بازارهای زیر زمینی متن زیر را نوشته‌اند که اعتبار‌دهنده‌ی امنیتی IBM آن را ترجمه کرد:
«هر آلودگی شبیه یک صفحه‌ی قلابی می‌باشد، که هدف آن به دست آوردن اطلاعات از قربانیان غیرمنتظره می‌باشد؛ بنابراین، یک پنجره‌ی قلابی که روی پنجره‌ی اصلی را می‌پوشاند، دقیقاً طراحی مشابهی با آن دارد. این پنجره اطلاعات دقیقی را از کاربر می‌خواهد که بتواند به حساب بانک‌داری برخط و تراکنش‌هایی دست یابد که نیاز به احراز هویت دارند.»
وی گفت: «ما این بدافزار را با تروجان‌های بانکی برای رایانه‌ی شخصی همانند زئوس مشاهده کرده‌ایم. این اولین کد منبع معنی داری است که برای جهان تروجان تلفن همراه آشکار شده است.»
کاسیم گفت که همانند زئوس که به تروجان سیتادل، Sphinx و KINS تغییر شکل می‌دهد، هنگامی که کد منبع آشکار می‌شود، GMBot نیز منبعی برای بسیاری از ربات‌‌هایی خواهد بود که در آینده وارد می‌شوند.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.