به گزارش کارگروه امنیت سایبربان؛ محققان «ThreatFabric» با انتشار گزارشی اعلام کردند بدافزار جدیدی به نام آلین (Alien) شناسایی کردهاند که برنامههای بانکی را هدف قرار داده و اطلاعات حسابهای کاربری را از 226 اپلیکیشن سرقت میکند.
آلین که بهعنوان سرویس در فرومهای وب تاریک عرضه میشود از صفر نوشتهنشده و مبتنی بر سورس کدهای تروجان بانکی سربروس (Cerberus) است که اخیراً بهصورت رایگان در دسترس عموم قرار گرفتند.
به گفته کارشناسان شرکت مذکور، سربروس بهاینعلت به موجودیت خود پایان داد که تیم امنیتی گوگل روشی برای شناسایی و پاکسازی آن از سیستمهای آلوده پیداکرده بود.
آلین مبتنی بر نسخه قدیمی سربروس بوده و بهنوعی جانشین تمامعیار آن است، اگرچه ازنظر فنی بسیار پیشرفتهتر از سربروس بوده و به نسل جدیدی از تروجانهای بانکی تعلق دارد که قابلیت دسترسی از راه دور دارند.
این بدافزار میتواند نهتنها صفحههای جعلی لاگین برای کاربران به نمایش درآورد، بلکه قادر است پسوردهای اپلیکیشنها و سرویسهای مختلف را جمعآوری کرده و امکان دسترسی از راه دور به سیستمهای آلوده را به هکرها بدهد تا آنها بتوانند از اطلاعات حسابهای کاربری مسروقه بهره برده یا اقدامات دیگری انجام دهند.
برخی از قابلیتهای آلین عبارتاند از:
- نمایش صفحات و محتوای جعلی در اپلیکیشنها جهت سرقت اطلاعات حسابهای کاربری،
- سرقت اطلاعاتی که کاربر از صفحهکلید وارد میکند،
- فراهم کردن دسترسی از راه دور به دستگاه پس از نصب TeamViewer،
- جمعآوری یا ارسال SMS و سرقت لیست مخاطبین،
- جمعآوری اطلاعات مربوط به دستگاه، فهرست برنامهها و اطلاعات موقعیت مکانی،
- ارسال درخواستهای USSD، هدایت تماسها و نصب و اجرای برنامههای دیگر،
- اجرای مرورگرها و باز کردن صفحات دلخواه در آنها،
- قفلکردن صفحه همچون باج افزار و رصد نوتیفیکیشنهای دستگاه،
- سرقت کدهای احراز هویت دوعاملی از برنامههای احراز هویت.
آلین درمجموع قادر است صفحات جعلی لاگین را در 226 اپلیکیشن به نمایش درآورد. این بدافزار بیشتر علاقهمند به برنامههای بانکی بوده و در کنار آن کلاینتهای ایمیل، شبکههای اجتماعی و پیامرسانهای جیمیل، فیس بوک، تلگرام، توییتر، اسنپ چت، واتساپ و برنامههای ارز دیجیتال را نیز هدف قرار میدهد.
بسیاری از برنامههایی بانکیای که آلین روی آنها هدفگذاری شده مربوط به مؤسسات مالی اسپانیا، ترکیه، آلمان، آمریکا، ایتالیا، فرانسه، لهستان، استرالیا و بریتانیا هستند.
کارشناسان کسپرسکی در گزارش اخیر خود اعلام کرده بودند اپراتورهای بدافزار تلفن همراه سربروس در یکی از فرومهای روس زبان وب تاریک اقدام به انتشار رایگان سورس کدهای این بدافزار کردهاند.
پیشازاین اقدام در ماه ژوئن 2020 سازندگان سربروس به علت منحل شدن تیم توسعهدهندگان سورس کدهای آن را به حراج میگذارند تا مالک جدیدی برایش پیدا کنند که ظاهراً ناکام بودهاند.
سربروس یک تروجان بانکی اندروید بوده و قادر به مانیتورنیگ پنهان، سرقت پیامکها، دستکاری عملکرد دستگاههای هدف، سرقت اطلاعات حسابهای کاربری، خواندن پیامک رمزهای یکبارمصرف و کدهای احراز هویت دوعاملی است.
این بدافزار بهعنوان سرویس در فرومهای وب تاریک به ارزش 4 هزار دلار تا 12 هزار دلار عرضه میشده و بنابرادعای کاربران فرومهای وب تاریک درآمد ماهیانه اپراتورهای آن 10 هزار دلار بوده است.
