بدافزارهای بانکی در تلفن های اندرویدی

به گزارش کارگروه امنیت سایبربان؛ دوازده برنامه کاربردی که به‌عنوان برنامه ردیابی تماس با ویروس کرونا در خارج از بازارهای اصلی عرضه می‌شوند، برای سرقت ناخواسته اطلاعات شخصی و مالی از کاربران اندرویدی طراحی‌شده‌اند.

شرکت اطلاعات تهدید آنومالی (Anomali) قبل از انتشار تحقیقات مشترک با شرکت سایبراسکوپ (CyberScoop)، برنامه‌هایی را یافت که برنامه‌های رسمی ردیابی دولتی از کشورهایی ازجمله ایتالیا، روسیه و سنگاپور را جعل کرده، برنامه‌های مخربی را که قادر به جمع‌آوری طیف وسیعی از داده‌ها از دستگاه‌های کاربر هستند روی تلفن‌های آن‌ها نصب می‌کنند. این آخرین نمونه سوءاستفاده هکرها و کلاه‌برداران از رویدادهای جهانی است که سعی کنند از کاربران مضطرب تلفن‌های هوشمند سرقت کنند که در این حالت تصور می‌کردند برنامه‌ای را برای اندازه‌گیری میزان شیوع کوید-19 در جامعه خود بارگیری می‌کنند.

هیچ‌یک از برنامه‌ها در زمان انتشار در فروشگاه گوگل پلی وجود نداشته‌اند. آنومالی مشخص کرد که برنامه‌ها در وب‌سایت‌های مشکوک و در بازار برنامه‌های شخص ثالث (غیررسمی) موجود است. محققان نتوانستند تعیین كنند كه چند نفر برنامه‌های مشكوك را بارگیری کرده‌اند و به نظر نمی‌رسد كه این برنامه‌ها جزئی از یك عملیات هماهنگ باشند.

درحالی‌که كمسیون تجارت فدرال آمریكا و محققان امنیتی درباره فرصت‌های ذاتی تقلب در برنامه‌های ردیابی تماس هشدار داده بودند، کلاه‌برداران قبلاً برنامه ردیابی مخاطب تلفن همراهی را گسترش دادند كه مانند خدمات ملی بهداشتی بریتانیا بود. مهاجمان برای انجام حملات فیشینگ و طیف گسترده‌ای از حملات دیگر از ویروس کرونا سوءاستفاده کرده‌اند.

در این حالت، چهار برنامه از 12 برنامه به‌عنوان نرم‌افزار مخرب بانکی آنوبیس (Anubis) که می‌تواند مکالمه تلفنی و ضربه زدن به کلیدها را ضبط کند و یا تروجان اسپای‌نوت (SpyNote) که ابزاری هک کننده است که به پیام‌های متنی، مخاطبین و جزئیات موقعیت مکانی GPS دسترسی دارد، تلقی شده‌اند. هشت برنامه دیگر به‌عنوان انواع مخرب عمومی‌تر تلقی شده‌اند.

هنگامی‌که کاربران برنامه Arrogya Setu را که به نظر می‌رسد یک برنامه از دولت هند است، بارگیری کنند، آن‌ها ناخواسته دستگاه خود را به ابزار هک اسپای‌نوت آلوده می‌کنند. این بدافزار مشابه طیف وسیعی از تروجان‌های دسترسی از راه دور عمل می‌کند، ازاین‌رو می‌تواند سایر برنامه‌های نصب‌شده روی تلفن کاربر را مشاهده کرده، به پیام‌های آن‌ها دسترسی داشته و مخفیانه اطلاعات دستگاه آلوده آن‌ها را انتشار دهد.

برنامه به دلیل احتمال سوءاستفاده بسیار مضر است. مرکز فناوری اطلاعات هند در ماه مه به بی‌بی‌سی گفت که نسخه قانونی این برنامه بیش از 100 میلیون بار بارگیری شده است و استفاده از این برنامه برای کارمندان دولت هند الزامی است.

هدف برنامه اصلی Aarogya Setu اطلاع‌رسانی به کاربران هنگام نزدیکی به شخصی است که در تماس با کوید-19 بوده است. این برنامه سپس خطر عفونت کاربران را محاسبه می‌کند و آن‌ها را ترغیب می‌کند تا از توصیه‌های خاص پیروی کرده تا از گسترش بیشتر بیماری جلوگیری شود.

در همین حال، به‌عنوان‌مثال، هنگامی‌که کاربران برنامه‌ای را که تصور می‌شود برنامه دولت برزیل است بارگیری می‌کنند، (در حقیقت) بارگیری نرم‌افزارهای مخرب آنوبیس را آغاز می‌کنند. کلاه‌برداران از سال 2017، اغلب در برنامه‌های اندرویدی یا به‌عنوان به‌روزرسانی نرم‌افزارها، بدافزار آنوبیس را به اشکال مختلف منتشر کرده‌اند. این برنامه به‌جای ارائه به‌روزرسانی به کاربران در مورد اینکه کدام‌یک از دوستان و همسایگانشان با ویروس کرونا در تماس بوده‌اند، به مهاجمان امکان می‌دهد تا مخفیانه داده‌هایی مانند نام‌های کاربری و کلمه عبور سایر برنامه‌ها را سرقت کنند.

محققان گفتند، احتمالاً میزبان این برنامه مخرب وب‌سایتی است که به‌عنوان وب‌سایت تبادل رمزنگاری تبلیغ می‌شود.

برنامه‌های دیگر ارمنستان، کلمبیا، اندونزی، ایران، قرقیزستان و ایالت چاتیسگار هند را هدف قراردادند.