حتی پس از تلاشهای بسیاری از طرف گوگل مبنی بر دور نگهداشتن فروشگاه رسمی خود از بدافزارها، برنامههای پنهانی همچنان به نحوی موفق به گول زدن سیستم حفاظت ضد تروجان گوگل شده و مردم را با نرمافزارهای مخرب آلوده میکنند.
یک تیم از محققان چندین شرکت امنیتی، دو کمپین جدید بدافزار را که کاربران فروشگاه رسمی گوگل را هدف قرار داده بودند را کشف کردهاند که یکی از آنها نسخه جدیدی از یک تروجان بانکی(۱) است[۱]، که از برنامههای کاربردی بانکیِ واقعی تقلید کرده تا اطلاعات حساس کاربران را بدزدد.
این تروجان بانکی بهگونهای طراحی شده است که پوششهای جعلی را بر روی برنامههای قانونی بانکی که متعلق به بانکهای بزرگ در سراسر جهان است، ازجمله Citibank ،WellsFargo ،Chase و DiBa نشان دهد تا اطلاعات حساس ازجمله اطلاعات ورودی و جزئیات کارت اعتباری کاربران را بدزدد.
تروجان بانکی با هدف اصلی نمایش پوستههای جعلی، توانایی انجام طیف وسیعی از وظایف دیگر مانند ارسال و دریافت پیامکها، برقراری تماس، ردیابی دستگاههای آلوده و سرقت مخاطبین را دارد.
گوگل حداقل چهار نسخه قبلی این تروجان بانکی را از فروشگاه رسمی اندروید خود در اوایل سال جاری حذف کرده است، اما تروجانهای بانکی همیشه راه خود را برای ورود به فروشگاه رسمی گوگل باز میکنند و قربانیان را از بانکهای بزرگ در سراسر جهان مورد هدف قرار میدهند.
کمپین دوم که توسط این محققان کشف شد، نهتنها این تروجان بانکی را بهعنوان اولین کمپین گسترش داد، بلکه Mazar و Red Alert را نیز پخش کرد[۲و۳]. این کمپین بهطور کامل در وبلاگهای ESET شرح داده شده است[۴].
بر اساس یک تحلیل[۵] انجامشده توسط تیم هوشمند تهدیدات تلفن همراه(۲) در Avast در همکاری با ESET و SfyLabs، آخرین نسخه از یک تروجان بانکی در برنامههای اندروید پنهان شده است که بهعنوان برنامههای قابلاعتماد و با ظاهر کاملاً بیخطر شناخته میشوند.
این برنامههای تروجان بانکی مخرب ابتدا توسط محققان در تاریخ ۱۳ اکتبر ۲۰۱۷ کشف شدند که از تکنیکهای ویژه برای دور زدن سیستم بررسی خودکار گوگل استفاده میکردند. برای مثال این برنامهها، فعالیتهای مخرب خود را ۲ ساعت پسازآن که کاربر به آنها اجازه دسترسی در سطح مدیریتی میدهد آغاز میکردند و یا اینکه برنامهها را با نامهای سازنده مختلف بر روی فروشگاه رسمی گوگل قرار میدادند.
پس از فریب دادن قربانیان برای دانلود آنها، برنامههای مخرب برنامههایی که بر روی دستگاه آلوده نصب شده است را بررسی میکنند تا برنامههای ضد hard-code شدن را یافته که فهرستی از ۱۶۰ برنامه را شامل میشوند.
به گفته محققان، این لیست شامل برنامههای Wells Fargo و Chase در ایالاتمتحده، Credit Agricole در فرانسه، Santander در اسپانیا، Commerzbank در آلمان و بسیاری از مؤسسات مالی دیگر از سراسر جهان است.
اگر این بدافزار یک یا چند برنامه در گوشی هوشمند آلوده شده پیدا کند، این بدافزار فایل APK تروجان بانکی را از سرور فرمان و کنترل آن دریافت و بر روی دستگاه تلفن همراه مربوطه نصب میکند و سپس تلاش میکند تا از طریق جا زدن خود بهعنوان یک برنامه قانونی یا یک بهروزرسانی سیستمی، قربانی را گول بزند تا حق دسترسی مدیریتی به او بدهد.
پسازآنکه امتیازات مدیریتی توسط این تروجان بانکی دریافت میشود، هر زمان که قربانی یکی از برنامههای موردنظر را از لیست موردنظر اجرا کند این تروجان همواره یک پوشش گول زننده را بر روی این برنامهها نماش داده و دادههای بانکی مربوط به کاربران موردنظر که در این برنامهها تایپ میکند را سرقت میکند.
آزمایشگاه تهدیدات Avast همچنین یک ویدئو را در حین آزمایش این مکانیزم با برنامه Czech Airbank محلی ارائه داده است[۶]. شما میتوانید ببینید که چگونه این برنامه یک پوشش قلابی در زمان چند میلیثانیه تولید کرده و کاربر مربوطه را گول میزند تا اطلاعات حساس بانکی خود را به مجرمان اینترنتی ارائه دهد.
ازآنجاییکه بسیاری از بانکها از روشهای احراز هویت دومرحلهای(۳) برای انجام معاملات ایمن استفاده میکنند، تروجان بانکی شامل قابلیتهایی است که به آن اجازه میدهد تا پیامهای متنی مبادله شده را شنود کرده که این امر به مجرمان پشت پرده این تروجان بانکی اجازه میدهد تا شماره تراکنش(۴) ارسالشده به تلفن همراه مشتری را بدزدند و پول موردنظر را به حسابهای خود انتقال دهند.
در اینجا یکی از مهمترین نکاتی که باید توجه کنیم این است که مکانیزم اندروید، برنامههای نصبشده از خارج از فروشگاه رسمی را بلاک میکند. حتی اگر قبلاً شما اجازه نصب برنامهها را از منابع شخص ثالث صادر کرده باشید، گوگل همچنان از شما میخواهد که برای نصب کردن چنین برنامههایی بر روی گزینه تأیید و در هنگام نصب این برنامه کلیک کنید.
محققان خاطرنشان کردند[۷]: “برخلاف این نسخه جدید از تروجانهای بانکی، dropperهای متعلق به کمپینهای قبلی بسیار پیشرفتهتر بودند. آنها تکنیکهایی مانند انجام کلیک در پسزمینه را از طریق سرویس دسترسی(۵) به کار میبردند تا نصب را توسط منابع ناشناخته انجام دهند.”
آخرین نسخه از این تروجانهای بانکی فاقد این ویژگی سرویس دسترسی است[۸] چراکه گوگل درحرکت اخیر خود این ویژگی را برای تمام برنامهها بلاک کرده است، بهجز مواردی که برای ارائه خدمات برای نابینایان طراحی شدهاند[۹].
گوگل در حال حاضر تمامی برنامههای اخیر تروجان بانکی کشفشده را حذف کرده است.
اگرچه این یک نگرانی بیپایان است، بهترین راه محافظت از خودتان این است که همیشه در هنگام دانلود برنامهها از فروشگاه رسمی گوگل مراقب باشید. بنابراین، قبل از دانلود یک برنامه از فروشگاه رسمی گوگل، مجوزها و نقدهای نوشتهشده برای آن را بهطور کامل بررسی کنید.
باوجوداینکه برنامههای تروجان بانکی راه خود را به فروشگاه رسمی گوگل باز کردهاند، payloadهای آن توسط یک منبع خارجی دانلود میشوند. بنابراین، اجازه ندهید هیچگونه APK شخص ثالثِ ناشناختهای در گوشی هوشمند شما نصب شود.
برای انجام این کار، به بخش تنظیمات و به زیرمجموعه امنیت بروید و سپس گزینه Allow installation of apps from sources other than the Play Store را غیرفعال کنید.
مهمتر از همه، مراقب باشید که کدامیک از برنامههای شما دارای اجازه دسترسی مدیریتی هستند، چراکه این برنامهها قدرتمند بوده و میتوانند کنترل کامل دستگاه شما را در دست گیرند.
منابع
[۱] https://apa.aut.ac.ir/?p=2422
[۲] https://thehackernews.com/2016/02/hack-android-malware.html
[۳] https://thehackernews.com/2017/09/android-banking-trojan.html
[۴] https://www.welivesecurity.com/2017/11/15/multi-stage-malware-sneaks-google-play/
[۵]https://clientsidedetection.com/new_campaigns_spread_banking_malware_through_google_play.html
[۶] https://youtu.be/qsegmJslH3g
[۷]https://blog.avast.com/mobile-banking-trojan-sneaks-into-google-play-targeting-wells-fargo-chase-and-citibank-customers
[۸] https://apa.aut.ac.ir/?p=2851
[۹] https://thehackernews.com/2017/11/android-accessibility-services.html
[۱۰] https://thehackernews.com/2017/11/website-keylogging.html
(۱) BankBot
(۲) mobile threat intelligence
(۳) two-factor-authentication
(۴) mobile transaction number (mTAN)
(۵) Accessibility Service
ثبت ديدگاه