نرم‌افزار جعلی اندرویدی، عامل نصب تروجان بانکی

۸محققان امنیتی هشدار داده‌اند که یک برنامه‌ی فلش‌پلیر جعلی با هدف قرار دادن تلفن‌های همراه اندرویدی قصد دارد قربانی‌ها را به بارگیری و نصب بدافزار بانکی ترغیب کند که اطلاعات کارت اعتباری را می‌رباید و می‌تواند طرح احراز هویت دو عامله را دور بزند. مشتریان شرکت هلدینگ خدمات مالی و بانک‌داری آمریکایی ولز فارگو، Discovery Financial و چیس، به همراه سرویس‌هایی همچون اسکایپ، لینکدین و فیس‌بوک از این حملات بی‌‌نصیب نبوده‌اند. محققان شرکت Fortinet روز سه‌شنبه بیان داشتند که این برنامه‌ی ساختگی فلش‌پلیر در ۲۱ اکتبر رؤیت شده است. در آن زمان این برنامه در فروشگاه‌ برنامه‌های گوگل پلی ارائه نشده بود. مشخص نیست این برنامه چگونه توزیع شده است.
این بدافزار بانکی می‌تواند اطلاعات محرمانه‌ی ۹۴ برنامه‌ی بانک‌داری مختلف تحت تلفن همراه را به سرقت ببرد. این بدافزار با توجه به توانایی که در ره‌گیری ارتباطات پیامکی دارد، می‌تواند احراز هویت دو مرحله‌ای مبتنی بر پیامک را دور بزند. این تروجان در آمریکا، آلمان، فرانسه، ایتالیا، استرالیا، ترکیه، لهستان، و اتریش پخش شده است. چنانچه این بدافزار نصب شود، آیکونی را روی صفحه‌ی راه‌اندازی برنامه‌‌های دستگاه اندرویدی می‌سازد. هنگامی‌که کاربر فلش‌پلیر جعلی را راه‌اندازی کند، کاربر فریب می‌خورد و حق و امتیازات مدیریتی دستگاه را از طریق یک سرویس ساختگی گوگل پلی به این برنامه اعطاء می‌کند. نفوذگران قادرند کاربران را به واسطه‌ی یک صفحه‌ی جعلی سرویس گوگل پلی برای نصب بدافزار مورد بحث فریب دهد؛ این صفحه در حقیقت پوششی روی صفحه‌نمایش است.
چنانچه کاربر تصمیم بگیرد این بارگیری را لغو کند، صفحه‌ی مورد نظر بسته می‌شود و مجدداً باز می‌گردد. تنها راهی که برای خلاص شدن از شر این صفحه وجود دارد، انتخاب گزینه‌ی «فعال‌سازی» از گزینه‌های منو است. اما چنین کاری باعث می‌شود امتیازهای کامل یک کاربر مدیر به بدافزار اعطاء شود. سپس آیکون فلش‌پلیر پنهان می‌شود و بدافزار در پس‌زمینه‌ی دستگاه فعال باقی می‌ماند.
پس از اعطای امتیازهای مدیریتی، این برنامه را نمی‌توان به راحتی از دستگاه حذف کرد. بدتر این است که بدافزار اجازه دارد پیام‌های متنی را ارسال و دریافت نماید. این دسترسی باعث می‌شود نفوذگر سامانه‌های مبتنی بر احراز هویت دو مرحله‌ای را دور بزند.
پس از آن‌که بدافزار نصب شد، اطلاعات مربوط به دستگاه را جمع‌آوری می‌کند، آن‌ها را به کارگزار فرمان‌دهی و کنترل می‌فرستد، و منتظر کارگزار می‌ماند تا دستورهای جدید را برای اجرا ارائه نماید. مجوزهای ارائه‌شده به نفوذگران مانند توانایی نوشتن، ویرایش، خواندن، ارسال و دریافت پیام‌های متنی موجب کنترل بدافزار می‌شود. سایر مجوزها شامل دست‌کاری محتوای تلفن همراه، تغییر تنظیمات اتصالات وای‌فای، جلوگیری از تغییر حالت دستگاه به «Sleep» یا خواب، و قابلیت بازنشانی دستگاه به تنظیمات کارخانه است. هنگامی‌که یک برنامه‌ی رسانه‌ی اجتماعی یا ارتباطی، و یا بانک‌داری توسط کاربری نصب شود، بدافزار یک پوشش صفحه‌نمایش را روی برنامه نشان می‌دهد. این اقدام قربانی را مجبور می‌کند که با بدافزار وارد تعامل شود، زیرا کاربران قادر نیستند تا زمان ورود اطلاعات کارت اعتباری از برنامه‌ی مورد نظر استفاده نمایند.
پس از بازرسی‌های بیشتر روی این بدافزار کاشف به عمل آمد که نفوذگران قربانی‌ها را وادار به درج شماره‌ی کارت اعتباری‌شان می‌کنند؛ در واقع نفوذگران قادرند صحت کارت‌های اعتباری را از طریق ارتباط با کارگزار فرمان‌دهی و کنترل تأیید نمایند. این بدافزار قابلیت‌های مخرب مختلفی را در یک برنامه پیاده‌سازی می‌کند و از یک آلودگی موفق نهایت استفاده را می‌‌برد. نفوذگر می‌تواند فهرست برنامه‌های مُجازی را که ممکن است هدف حمله‌ی کارگزار فرمان‌دهی و کنترل قرار گیرند، کنترل نماید؛ وی همچنین می‌تواند پیامک‌های متنی را ارسال کرده و ره‌گیری نماید، پیامک‌ها را در کارگزار C&C خود بارگذاری کند، و دستگاه را به تنظیمات کارخانه بازنشانی نماید.
حذف این بدافزار با غیرفعال کردن امتیازهای مدیر در برنامه‌ی فلش‌پلیر جعلی از طریق مسیر زیر ممکن است:

Settings->Security->Devices Administrators->Google Play Service->Deactivate

آخرین پله هم حذف فلش‌پلیر است.
در برخی موارد، چون این بدافزار بارها و بارها پوشش صفحه‌نمایش را برای درخواست امتیازهای مدیریتی می‌سازد، کاربران بایست بدافزار را از طریق Android Debug Bridge و به واسطه‌ی دستور زیر حذف نمایند:

adb uninstall [packagename]

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

LinkedInFacebookTwitter