یک تروجان بانکی تحت اندروید خطرناک (Svpeng) با استفاده از Keylogger تمامی اطلاعات را می‌دزدد.

مهاجمان سایبری هرروزه آگاه‌تر، نوآورانه‌تر و باهوش‌تر می‌شوند. آن‌ها اکنون روش‌های خود را از روش‌های سنتی به روش‌های مخفیانه‌تر و جدیدتر تغییر داده‌اند که دارای شاخص‌های نامحدود حمله بوده و به‌سختی قابل‌تشخیص هستند.

محققان امنیتی یکی از خطرناک‌ترین خانواده‌های تروجان بانکی تحت اندروید را کشف کرده‌اند که اکنون با اضافه کردن یک keylogger به آن به‌روزرسانی شده و به مهاجمان این امکان را داده است که اطلاعات حساس کاربران را بدزدند.

Roman Unuchek، تحلیلگر ارشد بدافزار در کاسپرسکی، یک نسخه جدید از تروجان بانکی شناخته‌شده و تحت اندروید را به نام Svpeng، در اواسط ماه گذشته و با یک ویژگی Keylogger جدید، که از خدمات دسترسی به Android استفاده می‌کند، کشف کرد[۱].

این تروجان از Accessibility Services به‌منظور افزودن Keylogger بهره‌برداری می‌کند.

Keylogger افزوده‌شده به نسخه جدید Svpeng از Accessibility Services استفاده می‌کند که یک ویژگی در اندروید است که برای کاربران راه‌های جایگزینی به‌منظور ارتباط برقرار کردن با گوشی تلفن همراه تأمین می‌کند.

این تغییر به تروجان Svpeng نه‌تنها اجازه می‌دهد که متون تایپ‌شده و تمامی کلیدهای فشرده‌شده در دیگر برنامه‌های نصب‌شده بر روی گوشی همراه را بدزدد، بلکه همچنین سطح دسترسی و مجوزهای خود را افزایش می‌دهد و بدین طریق از پاک کردن تروجان نصب‌شده بر روی گوشی توسط کاربر جلوگیری می‌کند.

در ماه نوامبر سال گذشته، تروجان بانکی Svpeng بیش از ۳۱۸٫۰۰۰ دستگاه اندروید را در سراسر جهان و در طی ۲ ماه و به کمک تبلیغات Google AdSense آلوده کرد که این سیستم تبلیغاتی توسط تروجان بانکی مخرب گسترده شده بود[۲].

حدود ۱ ماه قبل، محققان همچنین یک حمله دیگر را به نام Cloak and Dagger کشف کردند[۳] که از Accessibility Services در اندروید سوءاستفاده می‌کرد و به مهاجمان اجازه می‌داد که به‌طور مخفیانه کنترل کامل دستگاه‌های آلوده را در دست گرفته و اطلاعات حساس را بدزدند.

اگر زبان گوشی شما روسی باشد، شما درامانید!

بااینکه نوع جدیدِ بدافزار مخرب Svpeng هنوز به‌طور گسترده پخش نشده است، اما این بدافزار در طی یک هفته کاربران ۲۳ کشور را شامل روسیه، آلمان، ترکیه، لهستان و فرانسه تحت تأثیر قرار داده است.

همچنین نکته قابل‌توجه اینجاست که بااینکه بیشتر کاربران آلوده‌شده از روسیه هستند اما نوع جدید تروجان Svpeng عملیات مخرب خود را بر روی این دستگاه‌ها اجرایی نمی‌کند.

بر طبق گفته Unuchek بعد از آلوده شدن دستگاه، تروجان موردنظر در ابتدا زبان اصلی دستگاه را بررسی می‌کند. اگر این زبان روسی باشد، این بدافزار از ادامه فعالیت‌های مخرب دست می‌کشد و این امر می‌تواند شاهدی برای روسی بودن سازندگان این تروجان باشد که از نقض قوانین روسیه مبنی بر هک کردن کاربران محلی اجتناب کردند.

چگونه تروجان Svpeng پول شما را می‌دزدد؟

Unuchek می‌گوید آخرین نسخه Svpeng که در ماه جولای ۲۰۱۷ توسط او کشف‌شده بود از طریق وب‌سایت‌های مخرب که خود را به‌عنوان Flash Player جا زده بودند، گسترانیده می‌شد.

بعد از نصب شدن، همان‌طور که در بالا نیز اشاره شد، این بدافزار در ابتدا زبان دستگاه را چک می‌کند و اگر زبان روسی نبود، از دستگاه می‌خواهد که از Accessibility Services استفاده کند که این امر موجب درخطر افتادن دستگاه علیه چندین نوع حمله می‌شود.

با داشتن دسترسی به Accessibility Services این تروجان سطح دسترسی مدیریتی برای خود ایجاد کرده و خود را بر روی دیگر برنامه‌های قانونی نشان می‌دهد و خود را به‌عنوان یک برنامه پیام‌رسان نصب می‌کند و اجازه‌های دینامیک را مانند برقراری تماس، ارسال و دریافت پیامک و خواندن نام مخاطبان را برای خود فعال می‌کند.

به‌علاوه، با به دست آوردن اجازه‌های در سطح مدیر، این تروجان می‌تواند هر تلاشی مبنی بر حذف اجازه‌های مدیریتی دستگاه توسط قربانی را بلاک کرده و درنتیجه از پاک کردن این تروجان از روی گوشی جلوگیری می‌کند.

با استفاده از accessibility services، تروجان Svpeng به فعالیت‌های داخلی دیگر برنامه‌های نصب‌شده بر روی گوشی نیز دسترسی پیدا می‌کند و این امر این تروجان را قادر می‌سازد که کاراکترهای تایپ‌شده در دیگر برنامه‌ها را دزدیده و هر بار که کاربر یک کلید را فشار می‌دهد از صفحه گوشی یک اسکرین‌شات تهیه می‌کند.

Unuchek می‌گوید: “بعضی از برنامه‌ها، که بیشتر برنامه‌های بانکی هستند، وقتی در حال اجرا به‌عنوان برنامه اصلی هستند، اجازه گرفتن اسکرین‌شات را به کاربر نمی‌دهند. در موارد این‌چنینی، این تروجان از یک روش دیگر برای دزدیدن اطلاعات استفاده می‌کند و یک پنجره phishing را بر روی برنامه مورد هدف اجرا می‌کند. همچنین این نکته جالب است که این تروجان برای فهمیدن اینکه چه برنامه‌ای در بالای دیگر برنامه‌ها در حال اجراست نیز از accessibility service استفاده می‌کند.”

در مرحله بعدی تمامی اطلاعات دزدیده‌شده بر روی سرور command and control مهاجمان آپلود می‌شود. به‌عنوان بخشی از تحقیقات خود، Unuchek گفت که او موفق به رهگیری یک فایل تنظیمات رمزنگاری‌شده از سرور C&C این بدافزار شده است.

رمزگشایی این فایل به او کمک کرد که بعضی از وب‌سایت‌ها و برنامه‌های مورد هدف Svpeng را ردیابی کند و همچنین به او کمک کرد تا یک URL با صفحات phishing را برای دو برنامه PayPal وeBay  به همراه لینک‌های برنامه‌های بانکی از انگلستان، آلمان، ترکیه، استرالیا، فرانسه، لهستان و سنگاپور به دست آورد.

علاوه بر URLها، این فایل همچنین به این بدافزار اجازه می‌دهد تا دستورات مختلفی را از سرور C&C دریافت کند که شامل ارسال پیامک، جمع‌آوری اطلاعات مخاطبین، نصب برنامه‌ها، ذخیره تماس‌های گرفته‌شده، باز کردن لینک مخرب، جمع‌آوری تمامی پیامک‌های داخل دستگاه و دزدیدن پیامک‌های دریافتی می‌شوند.

Lukas Stefanko که یک محقق امنیتی در ESET است[۴]، یک ویدیو را در اختیار وب‌سایت The Hacker News قرار داده است که نحوه کار کردن این بدافزار را ثابت می‌کند[۵].

تکاملِ بدافزارِ بانکیِ تحتِ اندرویدِ Svpeng

محققان در شرکت کاسپرسکی در ابتدا تروجان بانکی Svpeng که تحت اندروید بود را در سال ۲۰۱۳ کشف کردند که دارای قابلیت اولیه phishing بود.

در سال ۲۰۱۴ این بدافزار اصلاح شد و اجزای باج‌گیر افزار به آن اضافه شد که دستگاه موردنظر را قفل می‌کرد و درخواست ۵۰۰ دلار از کاربران به‌منظور بازگشایی قفل گوشی آن‌ها می‌کرد.

این بدافزار از اولین نوع بدافزارها بود که حملات بانکی پیامکی را با استفاده از صفحات وب phishing آغاز کرد تا دیگر برنامه‌ها را روی هم قرار داده و توسط این کار تلاش می‌کرد تا اطلاعات حساس بانکی مربوط به کاربران را بدزدد و دستگاه‌ها را قفل کرده و تقاضای پول کند.

در سال ۲۰۱۶، مجرمان سایبری به‌طور فعال تروجان Svpeng را از طریق Google AdSense و با استفاده از یک آسیب‌پذیری در مرورگر Chrome گسترش دادند و در حال حاضر از Accessibility Services سوءاستفاده کردند که Svpeng را به خطرناک‌ترین بدافزار بانکی تحت موبایل تبدیل کرده است که می‌تواند تقریباً هر اطلاعاتی را بدزدد که این اطلاعات شامل نام کاربری و کلمه عبور فیس‌بوک شده تا حساب‌های کاربری بانکی و اطلاعات کارت‌های بانکی.

چگونه گوشی تلفن همراه خود را از مهاجمان محفوظ نگه داریم؟

فقط با استفاده از Accessibility Services این تروجان بانکی تمامی اجازه‌های موردنیاز را به دست آورده و حق دزدیدن اطلاعات زیاد از دستگاه‌های آلوده‌شده را نیز تصاحب می‌کند.

روش‌های مخرب این بدافزار Svpeng حتی بر روی دستگاه‌های اندروید به‌روزرسانی شده با آخرین نسخه اندروید و دارای تمامی وصله‌های امنیتی نیز کار می‌کند، بنابراین روش‌های اندکی وجود دارد که کاربران می‌توانند برای محافظت از خود در برابر این بدا‌فزارها استفاده کنند.

روش‌های محافظت استانداردی وجود دارد که شما می‌توانید استفاده کنید تا نسبت به این بدافزارها در امان باشید:

• تنها از منابع مورد اعتماد استفاده کنید، مانند Google Play Store و Apple App Store اما به سازندگان آن‌ها نیز دقت کنید تا از سازندگان مورد اعتماد و تأییدشده باشند.
• مهم‌ترین نکته، تأیید کردن اجازه‌های برنامه‌ها قبل از نصب کردن آن‌هاست. اگر هر برنامه‌ای درخواست اجازه‌هایی بیش از میزان موردنیاز کرد، آن برنامه را به‌هیچ‌وجه نصب نکنید.
• برنامه‌ها را از منابع شخص ثالث دانلود نکنید، چراکه بیشتر بدافزارها از طریق همین منابع گسترده می‌شوند.
• از اتصال به Wi-Fi های غیر ایمن و ناشناخته اجتناب ورزید و هنگامی‌که از Wi-Fi خود استفاده نمی‌کنید آن را خاموش کنید.
• هرگز بر روی لینک‌های داخل پیامک‌ها، MMSها یا پست‌های الکترونیک کلیک نکنید. حتی اگر این پست‌های الکترونیک قانونی به نظر رسند، به‌طور مستقیم به وب‌سایت موردنظر مراجعه کرده و به‌روزرسانی‌های در دسترس را از این طریق تأیید کنید.
• یک برنامه آنتی‌ویروس خوب که می‌تواند چنین بدافزارهایی را شناسایی و بلاک کند را قبل از آلوده شدن بر روی دستگاه خود نصب کنید و همواره آن را به‌روزرسانی کنید.

منابع

[۱] https://securelist.com/a-new-era-in-mobile-banking-trojans/79198/

[۲] http://thehackernews.com/2016/11/chrome-android-virus.html

[۳] https://apa.aut.ac.ir/?p=2624

[۴] https://twitter.com/LukasStefanko

[۵] https://youtu.be/5-nm0PK9Wmo

[۶] http://thehackernews.com/2017/07/android-banking-malware.html