انتشار شده در تاریخ 1404/03/14 - 11:24

افزودن ورودی جعلی به فهرست مخاطبین با بدافزار کروکودیلوس

بدافزار کروکودیلوس در یک کمپین کلاهبرداری جدید، ورودی‌های جعلی به فهرست مخاطبین قربانیان اضافه می‌کند.

به گزارش کارگروه امنیت سایبربان؛ محققان دریافته‌اند که یک تروجان بانکی جدید اندروید به نام کروکودیلوس (Crocodilus) به سرعت در حال تکامل است، ویژگی‌های جدیدی به آن اضافه می‌شود و در سراسر اروپا، آمریکای جنوبی و بخش‌هایی از آسیا گسترش می‌یابد.

شرکت امنیت سایبری هلندی «ThreatFabric» در گزارشی اعلام کرد که آخرین نسخه این بدافزار می‌تواند ورودی‌های جعلی را در فهرست مخاطبین قربانیان وارد کند و به مهاجمان اجازه دهد تا خود را به عنوان منابع معتبر مانند خطوط پشتیبانی بانک جا بزنند و کاربران را برای پاسخ دادن به تماس‌های جعلی فریب دهند و به طور بالقوه سیستم‌های پیشگیری از کلاهبرداری که شماره‌های ناشناس را علامت‌گذاری می‌کنند، دور بزنند.

محققان اظهار داشتند که با ویژگی‌های جدید اضافه شده، کروکودیلوس اکنون در جمع‌آوری اطلاعات حساس و فرار از شناسایی ماهرتر شده است.

به گفته کارشناسان، این بدافزار معمولاً از طریق تبلیغات مخرب، عمدتاً در فیس‌بوک، توزیع می‌شود. ThreatFabric عنوان کرد که این تبلیغات فقط یک تا دو ساعت آنلاین باقی می‌مانند، اما هر کدام بیش از ۱۰۰۰ بار مشاهده شده‌اند که بیشتر توسط کاربران بالای ۳۵ سال سن داشته که نشان دهنده تمرکز بر اهداف با ثبات مالی است.

قربانیانی که روی دکمه دانلود کلیک می‌کردند، به یک وب‌سایت مخرب هدایت می‌شدند که دراپر کروکودیلوس را ارائه می‌داد که می‌تواند محدودیت‌های امنیتی برای نصب برنامه‌ها در اندروید ۱۳ و نسخه‌های بعدی را دور بزند.

این بدافزار اولین بار در ماه مارس سال جاری شناسایی و در ابتدا در کمپین‌های آزمایشی محدود مشاهده شد. با این حال، محققان گفتند که کروکودیلوس از آن زمان حملات فزاینده‌ای را آغاز کرده است.

این بدافزار در لهستان از طریق تبلیغات فیس‌بوک که بانک‌ها و برنامه‌های خرید محبوب را تقلید می‌کرد، توزیع شد، درحالی‌که در ترکیه به عنوان یک کازینو آنلاین ظاهر شد و برنامه‌های مالی واقعی را با صفحات ورود جعلی پوشش داد. در اسپانیا، به عنوان یک به‌روزرسانی مرورگر ظاهر شد و تقریباً همه بانک‌های بزرگ را هدف قرار داد.؛ همچنین مشاهده شد که کمپین‌های آن کاربران را در آرژانتین، برزیل، هند، اندونزی و ایالات متحده هدف قرار داده است.

محققان ThreatFabric گفتند که گسترش جغرافیایی و پیچیدگی فنی این بدافزار نشان دهنده دخالت یک عامل تهدید با منابع خوب و سازمان‌یافته است. آنها هنوز این بدافزار را به یک گروه خاص جرایم سایبری نسبت نداده‌اند.

تروجان‌های بانکی ابزارهای رایجی در بین مجرمان سایبری هستند که برای سرقت اطلاعات مالی حساس طراحی شده‌اند. استقرار آنها اغلب منجر به تراکنش‌های غیرمجاز، تصاحب حساب و ضررهای مالی قابل توجه برای قربانیان می‌شود.

سپتامبر گذشته، محققان بدافزار اندرویدی جدیدی را کشف کردند که برای سرقت اطلاعات مشتریان بانک در آسیای مرکزی استفاده می‌شد. این بدافزار که با نام «Ajina Banker» شناخته می‌شود از طریق فایل‌های مخربی که خود را به عنوان برنامه‌های مالی قانونی، پورتال‌های خدمات دولتی یا ابزارهای کاربردی روزمره جا زده‌اند، منتقل می‌شود.

محققان گفتند که یک تروجان بانکی دیگر، معروف به «Chavecloak»، با سرقت اطلاعات بانکی کاربران برزیلی، آنها را هدف قرار داده است. این بدافزار از طریق یک فایل پی‌دی‌اف مخرب پخش می‌شود و قربانیان اغلب تنها پس از وقوع آلودگی متوجه می‌شوند که اطلاعاتشان به خطر افتاده است.