شاید شما فرد شوخ‌طبعی نباشید، اما نگاه گردن به ویدیوهای خنده‌دار به‌صورت آنلاین واقعاً جذاب است و این یکی از بهترین کارهایی است که مردم در وقت اضافه خود انجام می‌دهند.

اما اگر نرم‌افزار funny video را از طریق Google Play Store بر روی گوشی خود نصب کرده‌اید، باید مراقب باشید.

BankBot

یک محقق امنیتی یک تروجانِ اندرویدیِ جدیدِ بانکی را در برنامه‌هایی با نام‌های مختلف و برای مثالFunny Videos 2017 در Google Play Store کشف کرده است[۱].

Niels Croese که یک محقق امنیتی در شرکت Securify B.V است، برنامه Funny Videos را آنالیز کرده است که بین ۱۰۰۰ تا ۵۰۰۰ بار نصب شده است و فهمیده است که این برنامه مانند خیلی از برنامه‌های مشابه ویدیویی در Play Store کار می‌کند اما در پس‌زمینه قربانیان را از بانک‌های موجود در سراسر جهان مورد هدف قرار می‌دهد.

این تروجان بانکی تازه کشف شده مانند خیلی از بدافزارهای مشابه کار می‌کند اما دو نکته این تروجان را با دیگر بدافزارها متفاوت می‌کند، یکی قابلیت هدف قرار دادن قربانیان و دیگری استفاده از ابزار DexProtector برای مخفی کردن کد برنامه.

این تروجان بانکی که BankBot نام‌گذاری شده است، مشتریان بیش از ۴۲۰ بانک را در سراسر جهان شامل Citibank، ING و بعضی از بانک‌های جدید آلمانی مانند ABN، Rabobank و Binck را مورد هدف قرار داده است.

این تروجان بانکی اندرویدی چگونه کار می‌کند؟

به‌صورت خلاصه، BankBot  یک بدافزار بانکی تحت موبایل است که شبیه یک برنامه ساده است و هنگام نصب شدن، به کاربران اجازه می‌دهد تا ویدیوهای خنده‌دار را نگاه کنند، اما در پس‌زمینه، این برنامه جلوی SMSها را گرفته و overlayها را به‌منظور دزدیدن اطلاعات بانکی نمایش می‌دهد.

تروجان بانکی تحت موبایل اغلب خودش را تحت یک برنامه پلاگین مخفی می‌کند، مانند Flash اما این برنامه راه خودش را به Google Play Store از طریق مخفی کردن خود به‌عنوان دیگر برنامه‌های رایج اندروید باز کرده است.

گوگل این برنامه مخرب را از Play Store خود پس از دریافت گزارش از این محقق پاک کرد[۲] اما این بدان معنی نیست که برنامه‌های بیشتری با نام‌های دیگر در Google Play Store وجود نداشته باشند.

این محقق می‌گوید: “مشکل دیگر آنجاست که Google Play Store به‌طور عمده بر پایه پویش خودکار است و بدون درک کامل از شاخص‌های مبهم فعلی که در این بدافزار بانکی وجود دارد.”

هنگامی‌که این برنامه دانلود می‌شود، مصرانه درخواست داشتن امتیازهای امنیتی را از کاربر می‌کند و اگر این امتیاز را دریافت کند، این بدافزار بانکی می‌تواند هر اتفاقی که بر روی گوشی هوشمند آلوده‌شده می‌افتد را کنترل کند.

فعالیت اصلی BankBot  در عمل زمانی است که فرد قربانی یک برنامه از برنامه‌های از پیش تنظیم‌شده از لیست ۴۲۵ برنامه بانکی را باز کند. لیست کامل بانک‌هایی که در حال حاضر توسط این بدافزار مورد سوءاستفاده قرار گرفتند توسط این محقق منتشر شده است[۳].

هنگامی‌که یکی از برنامه‌های این لیست باز شود، BankBot  بدون درنگ یک overlay را نمایش می‌دهد که در حقیقت صفحه‌ای بر روی این برنامه موبایل قانونی است و کاربران اندروید را گول می‌زند تا اطلاعات محرمانه بانکی خود را بر روی این overlay وارد کنند که مشابه یک حمله phishing است.

این عملیات نه‌تنها اطلاعات حساس بانکی شما را به سرورهای بانک ارسال می‌کند بلکه همچنین اطلاعات مالی حساس شما را به سرورهای کنترل‌کننده توسط کلاه‌برداران ارسال می‌کند.

چگونه باید از خود محافظت کنید؟

یک سری از راهکارهای استاندارد وجود دارد که شما به‌منظور محافظت از خود در برابر این تروجان بانکی باید انجام دهید:

  • قبل از اینکه این تروجان بر روی گوشی شما اثر بگذارد، یک برنامه آنتی‌ویروس خوب که توانایی شناسایی و بلاک کردن این‌چنین بدافزارهایی را دارد، بر روی گوشی خود نصب کنید. همیشه این آنتی‌ویروس را به‌روزرسانی کنید.
  • همیشه از منابع مورد اعتماد استفاده کنید، مانند Google play Store یا Apple App Store و قبل از نصب برنامه‌ها مجوز آن‌ها را تأیید کنید. اگر هر برنامه‌ای درخواست بیش از آنکه باید را کرد، آن برنامه را نصب نکنید.
  • برنامه‌ها را از منابع شخص ثالث دانلود نکنید. اگرچه در این مورد، برنامه موردنظر از طریق Play Store رسمی گسترش پیدا کرده بود اما در اغلب موارد این‌گونه بدافزارها از طریق منابع شخص ثالث غیرقابل‌اعتماد گسترش پیدا می‌کنند.
  • از Wi-Fi Hotspotهای غیر ایمن و ناشناخته استفاده نکنید و هنگامی‌که از Wi-Fi خود استفاده نمی‌کنید، آن را خاموش کنید.
  • مراقب باشید که به چه نرم‌افزارهایی حق دسترسی ادمین می‌دهید. دسترسی ادمین قدرتمند است و می‌تواند به یک برنامه اجازه دهد تا کنترل کامل دستگاه شما را در دست گیرد.
  • هرگز بر روی لینک‌های موجود در SMS یا MMSهای فرستاده شده به گوشی موبایل خود کلیک نکنید. حتی اگر پست‌های ارسال شده قانونی به نظر می‌رسند، به‌طور مستقیم به وب‌سایت اصلی مراجعه کرده و هر به‌روزرسانی را قبل از انجام تأیید کنید.

 

 منابع

[۱]https://securify.nl/blog/SFY20170401/banking_malware_in_google_play_targeting_many_new_apps.html

[۲] https://play.google.com/store/apps/details?id=neoidea.funvideos2017

[۳]https://securify.nl/blog/SFY20170401/banking_malware_in_google_play_targeting_many_new_apps.html

[۴] http://thehackernews.com/2017/04/android-banking-malware.html