GM Botکد منبع ترویان بانکی اندرویدی تازه کشف‌شده‌ای که قابلیت به دست آوردن دسترسی مدیریتی در گوشی همراه و پاک کردن کامل اطلاعات دستگاه را دارد به‌صورت آنلاین منتشرشده است.

خانواده‌ی این ترویان بانکی بانام‌های زیادی شناخته می‌شود. پژوهشگران امنیتی از شرکت FireEye آن را SlemBunk نام‌گذاری کرده‌اند، Symantac آن را Bankosy نام نهاده و در هفته گذشته زمانی که شرکت Heimdal Security آن را کشف کرد نام MazarBot را بر آن نهاد.

همه‌ی ترویان‌های بانکی اندرویدی که در بالا اشاره شد از یک خانواده‌ی مشترک به نام GM Bot نشأت گرفته‌اند که IBM از سال ۲۰۱۴ آن را ردگیری می‌کرده است.

GM Bot در انجمن‌های زیرزمینی خلاف‌کاران سایبری روس پدیدار شد و باقیمت ۴۰۰ یورو یا ۵۰۰ دلار فروخته می‌شد اما به نظر می‌رسد که یکی از اشخاصی که کد را خریده، در دسامبر ۲۰۱۵ آن را در یک انجمن منتشر کرده است، بنا به گزارش تیم x-force از IBM.

GM Bot چیست و چرا باید درباره‌ی آن نگران بود؟

آخرین نسخه‌ی GM Bot (که MazarBOT نامیده می‌شود) قابلیت نمایش صفحات phishing بر روی برنامه‌های موبایل بانک را دارد برای فریب کاربران اندرویدی به‌منظور رساندن رمزهای بانکی به سارقان استفاده می‌شود.

علاوه بر این، ترویان بانکی همچنین قابلیت انتقال مکالمات تلفنی و شنود پیام‌های SMS را برای کمک به سارقان به‌منظور دور زدن مکانیزم های امنیتی بانک و همچنین قابلیت قفل‌کردن صفحه‌ی موبایل را دارند.

تبهکاران سایبری همچنین می‌توانند از این دژافزار برای موارد زیر استفاده کنند:

  • جاسوسی از قربانی
  • پاک کردن داده‌ها از ابزار آلوده‌شده
  • ماندگاری در بوت برای استمرار اجرا بعد از ریست شدن دستگاه
  • ارسال و خواندن پیام‌های SMS
  • انجام تماس با مخاطبان تلفن
  • خواندن وضعیت تلفن
  • خرابکاری در دکمه‌های کنترل تلفن
  • آلوده کردن مرورگر کروم دستگاه
  • تغییر تنظیمات تلفن
  • اجبار تلفن به حالت خواب
  • پرس و جوی وضعیت شبکه
  • دسترسی به اینترنت
  • پاک کردن کامل فضای ذخیره‌سازی دستگاه (بحرانی‌ترین قابلیت دژافزار)

به هر ترتیب، یک نفر کد منبع دژافزار را منتشر کرده و به گفته‌ی پژوهشگران دلیل او تنها تقویت شهرت خود در یک انجمن زیرزمینی بوده است!

کد منبع دژافزار GM Bot به‌صورت رایگان

بله کد منبع GM Bot و کنترل پنل آن اکنون به‌صورت مجانی در دسترس تبهکاران و سارقان سایبری است. در کنار کد منبع، این فرد همچنین آموزش و دستورالعمل برای نصب در سرور را ارسال کرده که به این معنی است که تبهکاران می‌توانند نسخه‌ی خودشان از دژافزار را برای انجام سرقت‌های بانکی آنلاین ایجاد کنند.

اگرچه فایل فشرده‌شده‌ی حاوی کد و کنترل پنل آن دارای کلمه‌ی عبور است، اما این فرد کلمه‌ی عبور را برای اعضای فعال انجمن ارائه خود ارائه داده است.

“Those who received the password, in turn, passed it on to other, unintended users, so the actual distribution of the code went well beyond that discussion board’s member list,” IBM cyber security evangelist Limor Kessem wrote in a blog post.

به گفته‌ی Limor Kessem کارشناس امنیت سایبر IBM در مطلب وبلاگ وی: کسانی که کلمه‌ی عبور را دریافت می‌کنند، به‌نوبه‌ی خود آن را به دیگران می‌دهند، بنابراین توزیع کد فراتر از لیست اعضای بحث انجام می‌گیرد. کاربران شروع به اشتراک‌گذاری کلمه‌ی عبور در میان دوستان خود کردند و در زمان ناچیزی کد منبع GM Bot در همه‌ی انجمن‌های زیرزمینی هک گسترش پیدا کرد.

GM Bot یکی از خطرناک‌ترین ترویان های بانکی در حوزه‌ی اندروید است و با انتشار کد منبع آن، کاربران باید در هنگام استفاده از بانکداری آنلاین بیش‌ازپیش مراقب باشند.

چگونه خودتان را محافظت کنید؟

همان‌گونه که گفته شد، به کاربران آنلاین توصیه می‌شود که از این گام‌ها برای محافظت خودشان در برابر این‌گونه تهدیدات پیروی کنند:

  • هرگز ضمیمه‌های از طرف منابع ناشناس را باز نکنید.
  • هرگز بر روی لینک‌های ارسالی در پیام‌های SMS و MMS که به گوشی شما ارسال می‌شوند کلیک نکنید.
  • حتی اگر ایمیل به نظر مجاز می‌رسد مستقیماً به وب‌سایت منبع بروید و به‌روز رسانی های ممکن را بررسی کنید.
  • به Setting > Security بروید و ””Allow installation of apps from sources other than the Play Store را خاموش کنید.
  • همیشه یک آنتی ویروس به‌روز را در دستگاه اندروید خود داشته باشید.
  • از متصل شدن به شبکه های Wi-Fi ناشناخته و نا امن اجتناب کنید و Wi-Fi خود را زمانی که درحال استفاده نیست در حالت خاموش قرار دهید.

منبع

http://thehackernews.com/2016/02/android-malware-source-code.html