بدافزار بانکی اندرویدی

به گزارش واحد امنیت سایبربان؛ محققان امنیتی دکتر وب هشدار داده‌اند که یک بدافزار بانکی اندروید که دو سال پیش کشف‌شده بود،‌ پس از به‎روز شدن باقابلیت‌های جدید باج افزاری به یک تهدید جهانی در ماه‌های گذشته تبدیل‌شده است.  

این بدافزار که Android.SmsSpy.88.origin نام دارد، ابتدا در سال ۲۰۱۴ کشف شد و در آن هنگام عمدتاً به کاربران در روسیه و کشورهای CIS حمله می‌کرد و از طریق ارسال پیام‌های کوتاه هرزنامه که شامل یک نشانی اینترنتی بود و کاربران را به وبگاه‌های کلاه‌برداری می‌کشاند، گسترش می‌یافت. اگرچه این بدافزار قدیمی است، اما اخیراً محبوبیت یافته است و آن نیز به خاطر قابلیت‌های متعدد آن است و همچنین به این  دلیل که خدماتی در انجمن‌های زیرزمینی برای آن ارائه می‌شود. 

محققان دکتر وب می‌گویند که این بدافزار در اصل برای این طراحی‌شده بود که پیامک‌های حاوی گذرواژه یک‌بارمصرف بانکی را شنود کرده و مخفیانه پیام ارسال و تماس‌های تلفنی برقرار کند؛ اما درنهایت نویسندگان این بدافزار آن را باقابلیت‌های سرقت اطلاعات کارت‌های بانکی به‌روزرسانی کرده‌اند. این عملیات از طریق هم‎پوشانی فرم‎های ورودی در نرم‌افزار گوگل‎پلی و یا از طریق نرم‌افزارهای بانکی اینترنتی که به‌وسیله بانک‌های مشهور روسی ارائه می‌شود، صورت گرفته است. 

محققان از انتهای سال ۲۰۱۵ یک نسخه پیچیده از یک برنامه‎ را مشاهده کردند که به کاربران در سراسر جهان حمله می‌کند. محققان شرکت دکتر وب ادعا می‌کنند که به بیش از ۵۰ بات‌نت برخورد کرده‌اند که شامل دستگاه‌های تلفن همراه آلوده به نسخه‌های مختلف بدافزار Android.SmsSpy.88.origin بوده‌اند. 

محققان می‌گویند که درمجموع این بدافزار موفق شده است تا چهل هزار دستگاه را در ۲۰۰ کشور آلوده سازد. بااین‌حال این بدافزار خود را به شکل نرم‌افزارهای معروفی چون Flash Player نشان می‌دهد و به‌محض اینکه اجرا شد، درخواست دسترسی سطح بالا و ویژه را دارد. 

این بدافزار به‌محض اینکه روی یک دستگاه آلوده نصب شود، یک اتصال فعال با کارگزار C&C خود برقرار می‌کند و به فعالیت مخرب اصلی خود یعنی سرقت اعتبارنامه‌ها ادامه می‌دهد. داده‌های به سرقت رفته فوراً به این کارگزار ارسال می‌شوند و کنترل حساب بانکی قربانی به دست مهاجم سپرده می‎شود.  

این برنامه مخرب با استفاده از WebView و نشان دادن پنجره فیشینگ روی برنامه‌های اصلی و قانونی،‌ حدود ۱۰۰ برنامه بانکی را هدف قرار داده است. قابلیت‌های عملکردی این بدافزار شبیه به Android/Spy.Agent.Sl است که در اوایل ماه مارس مشاهده شد و کاربران را در بانک‌های متعددی در کشورهای استرالیا، نیوزلند و ترکیه مورد هدف قرار می‌داد. 

محققان می‌گویند که پرونده پیکربندی این بدافزار می‌تواند از راه دور به‎روزرسانی شود و درنتیجه‌ی آن مهاجمان می‌توانند به‌صورت مجازی، قربانیان را در هر بانکی از سراسر جهان مورد هدف قرار دهند. همچنین این تهدید تلاش می‌کند تا اطلاعات کارت‌های بانکی را از طریق یک صفحه جعلی فیشینگ پرداخت گوگل پلی دریافت کند تا بتواند به شنود و ارسال پیامک‌ها و پیام‌های چندرسانه‌ای و ارسال درخواست‌های USSD و انتقال همه‌ی پیام‌های ذخیره‌شده به کارگزار خود و تنظیم یک گذرواژه برای باز کردن قفل دستگاه و قفل‌کردن صفحه اصلی دستگاه با استفاده از پنجره‌ای که به شکل خاصی طراحی‌شده است، بپردازد. 

هنگامی‌که صفحه‌ی دستگاه قفل می‌شود، این بدافزار یک پیام جعلی به کاربر نشان می‌دهد و به قربانی می‌گوید که دستگاه به دلیل ذخیره و انتشار پرونده‎های غیرقانونی هرزه‌نگاری قفل‌شده است. همچنین این بدافزار به قربانی می‌گوید که می‌تواند برای باز کردن قفل دستگاه باجی را به شکل کارت هدیه آی‌تیونز پرداخت کند. 

محققان می‌گویند که بیشتر دستگاه‌هایی که توسط بدافزار Android.SmsSpy.88.origin موردحمله قرارگرفته‌اند از نسخه‌ی اندروید ۴.۴، با سهم ۳۵.۱ درصد از کل استفاده می‌کرده‌اند. اگرچه سایر نسخه‌ها نیز همچون اندروید ۵.۱ با (۱۴.۴۶ درصد)، ‌اندروید ۵ (با ۱۴.۱ درصد)، ‌اندروید ۴.۲ با (با ۱۳.۰۰ درصد) و اندروید ۴.۱ (با ۹.۸۸ درصد)‌ نیز آلوده‌شده‌اند. 

شرکت دکتر وب می‌گوید: «کاربرانی که در کشورهای زیر زندگی می‌کرده‌اند بیشتر از همه تحت تأثیر این بدافزار بوده‌اند: ترکیه (۱۸.۲۹ درصد)، هند (۸.۸۱ درصد)، اسپانیا (۶.۹۰ درصد)، استرالیا (۶.۸۷ درصد)، آلمان (۵.۷۷ درصد)، فرانسه (۳.۳۴ درصد)،‌ آمریکا (۲.۹۵ درصد)، فیلیپین (۲.۷۰ درصد)، اندونزی (۲.۲۲ درصد)، ایتالیا (۱.۹۹ درصد)، آفریقای جنوبی (۱.۵۹ درصد)، بریتانیای کبیر (۱.۵۳ درصد)، پاکستان (۱.۵۱ درصد)، لهستان (۱.۱ درصد)، ایران (۰.۹۸ درصد)، عربستان سعودی (۰.۹۶ درصد)، چین (۰.۹۲ درصد) و بنگلادش (۰.۸۵ درصد)». 

همچنین محققان می‌گویند که این بدافزار به این دلیل گسترش زیادی یافته که نویسندگان آن در انجمن‌های زیرزمینی تبلیغ بسیاری کرده‎اند و به‌صورت یک محصول تجاری آن را به فروش رسانده‌اند. علاوه بر خود بدافزار، به نظر می‌رسد که عوامل پشت پرده‌ی آن، به ارائه‌ی کارگزار این بدافزار برای مشتریان به‌علاوه یک پنل مدیریت برای اداره دستگاه‌های آلوده، می‌پردازند. 

از ابتدای سال جاری، حمله‎ی سیل‎آسای این بدافزارهای اندرویدی مشاهده‌شده است که به کاربران در سراسر جهان حمله می‌کنند که شامل SlemBunk، Xbot و Spy.Agent نیز می‌شوند. علاوه بر این، بدافزار Triada هم که به‌عنوان پیشرفته‌ترین بدافزار تلفن همراه تاکنون شناخته‌شده و همچنین بدافزارهای Asacub و Banker مشاهده‌شده‎اند که هر دو مورد آخر، عمدتاً به کاربران در روسیه حمله می‌کنند.