افزودن ورودی جعلی به فهرست مخاطبین با بدافزار کروکودیلوس
به گزارش کارگروه امنیت سایبربان؛ محققان دریافتهاند که یک تروجان بانکی جدید اندروید به نام کروکودیلوس (Crocodilus) به سرعت در حال تکامل است، ویژگیهای جدیدی به آن اضافه میشود و در سراسر اروپا، آمریکای جنوبی و بخشهایی از آسیا گسترش مییابد.
شرکت امنیت سایبری هلندی «ThreatFabric» در گزارشی اعلام کرد که آخرین نسخه این بدافزار میتواند ورودیهای جعلی را در فهرست مخاطبین قربانیان وارد کند و به مهاجمان اجازه دهد تا خود را به عنوان منابع معتبر مانند خطوط پشتیبانی بانک جا بزنند و کاربران را برای پاسخ دادن به تماسهای جعلی فریب دهند و به طور بالقوه سیستمهای پیشگیری از کلاهبرداری که شمارههای ناشناس را علامتگذاری میکنند، دور بزنند.
محققان اظهار داشتند که با ویژگیهای جدید اضافه شده، کروکودیلوس اکنون در جمعآوری اطلاعات حساس و فرار از شناسایی ماهرتر شده است.
به گفته کارشناسان، این بدافزار معمولاً از طریق تبلیغات مخرب، عمدتاً در فیسبوک، توزیع میشود. ThreatFabric عنوان کرد که این تبلیغات فقط یک تا دو ساعت آنلاین باقی میمانند، اما هر کدام بیش از ۱۰۰۰ بار مشاهده شدهاند که بیشتر توسط کاربران بالای ۳۵ سال سن داشته که نشان دهنده تمرکز بر اهداف با ثبات مالی است.
قربانیانی که روی دکمه دانلود کلیک میکردند، به یک وبسایت مخرب هدایت میشدند که دراپر کروکودیلوس را ارائه میداد که میتواند محدودیتهای امنیتی برای نصب برنامهها در اندروید ۱۳ و نسخههای بعدی را دور بزند.
این بدافزار اولین بار در ماه مارس سال جاری شناسایی و در ابتدا در کمپینهای آزمایشی محدود مشاهده شد. با این حال، محققان گفتند که کروکودیلوس از آن زمان حملات فزایندهای را آغاز کرده است.
این بدافزار در لهستان از طریق تبلیغات فیسبوک که بانکها و برنامههای خرید محبوب را تقلید میکرد، توزیع شد، درحالیکه در ترکیه به عنوان یک کازینو آنلاین ظاهر شد و برنامههای مالی واقعی را با صفحات ورود جعلی پوشش داد. در اسپانیا، به عنوان یک بهروزرسانی مرورگر ظاهر شد و تقریباً همه بانکهای بزرگ را هدف قرار داد.؛ همچنین مشاهده شد که کمپینهای آن کاربران را در آرژانتین، برزیل، هند، اندونزی و ایالات متحده هدف قرار داده است.
محققان ThreatFabric گفتند که گسترش جغرافیایی و پیچیدگی فنی این بدافزار نشان دهنده دخالت یک عامل تهدید با منابع خوب و سازمانیافته است. آنها هنوز این بدافزار را به یک گروه خاص جرایم سایبری نسبت ندادهاند.
تروجانهای بانکی ابزارهای رایجی در بین مجرمان سایبری هستند که برای سرقت اطلاعات مالی حساس طراحی شدهاند. استقرار آنها اغلب منجر به تراکنشهای غیرمجاز، تصاحب حساب و ضررهای مالی قابل توجه برای قربانیان میشود.
سپتامبر گذشته، محققان بدافزار اندرویدی جدیدی را کشف کردند که برای سرقت اطلاعات مشتریان بانک در آسیای مرکزی استفاده میشد. این بدافزار که با نام «Ajina Banker» شناخته میشود از طریق فایلهای مخربی که خود را به عنوان برنامههای مالی قانونی، پورتالهای خدمات دولتی یا ابزارهای کاربردی روزمره جا زدهاند، منتقل میشود.
محققان گفتند که یک تروجان بانکی دیگر، معروف به «Chavecloak»، با سرقت اطلاعات بانکی کاربران برزیلی، آنها را هدف قرار داده است. این بدافزار از طریق یک فایل پیدیاف مخرب پخش میشود و قربانیان اغلب تنها پس از وقوع آلودگی متوجه میشوند که اطلاعاتشان به خطر افتاده است.