انتشار شده در تاریخ 1404/04/18 - 10:05

حمله بدافزار موبایلی آناتسا به مشتریان بانک‌های آمریکای شمالی

به گفته پژوهشگران امنیتی، بدافزار بانکی آناتسا که از مدت‌ها پیش برای سیستم‌عامل اندروید شناخته شده، اخیراً مؤسسات مالی و کاربران اپلیکیشن‌های بانکی در آمریکای شمالی را هدف قرار داده است.

به گزارش کارگروه حملات سایبری خبرگزاری سایبربان، بر اساس گزارش شرکت امنیت سایبری هلندی تریت فابریک (ThreatFabric) که از سال ۲۰۲۰ فعالیت‌های آناتسا (Anatsa) را رصد می‌کند، این حداقل سومین بار است که این بدافزار مشتریان بانک‌های ایالات متحده و کانادا را هدف می‌گیرد.

آناتسا توانایی دارد اطلاعات ورود به حساب بانکی را سرقت کرده، ضربه‌کلیدها را ثبت کند و با استفاده از ابزارهای دسترسی از راه دور، تراکنش‌های تقلبی را مستقیماً از دستگاه آلوده انجام دهد.

شیوه معمول کمپین‌های آناتسا به این صورت است که ابتدا یک برنامه اندرویدی ظاهراً بی‌خطر و کاربردی مثل پی دی اف ریدر (PDF reader) یا اپلیکیشن پاک‌کننده تلفن، در فروشگاه اپ منتشر می‌شود.

این برنامه تا زمانی که هزاران بار دانلود شود، عملکردی عادی دارد، اما پس از مدتی، با یک به‌روزرسانی مخرب، کدی در دستگاه تزریق می‌شود که نسخه اصلی بدافزار آناتسا را به‌صورت جداگانه نصب می‌کند.

پس از آن، بر اساس هدف موردنظر، فعالیت‌های مخرب آغاز می‌شود.

در آخرین کمپین، بدافزار درون یک اپلیکیشن ساده خوانش فایل جاسازی شده بود که حدود شش هفته پس از انتشار به‌روزرسانی مخرب دریافت کرد.

این به‌روزرسانی در بازه زمانی ۲۴ تا ۳۰ ژوئن به دستگاه‌ها منتقل شد.

به گفته تریت فابریک، این اپ پیش از حذف از پلی‌استور نسخه آمریکایی، جزو برترین ابزارهای رایگان بود و بیش از ۵۰ هزار بار دانلود شده بود.

راندولف بار، مدیر ارشد امنیت اطلاعات شرکت سیکوئنس (Cequence) بیان کرد:

این الگو دو مرحله‌ای برای ما آشناست. حتی کاربران آگاه هم ممکن است فریب بخورند، چون نسخه اولیه اپ کاملاً سالم و مفید به نظر می‌رسد.

پژوهشگران مشخص نکرده‌اند که هکرها چگونه اپ را تبلیغ کرده‌اند تا به چنین گستره‌ای از کاربران برسد.

همچنین هنوز مشخص نیست از اطلاعات سرقت‌شده دقیقاً چه استفاده‌ای شده، اما سناریوهای محتمل شامل باج‌افزار، فروش داده‌ها در دارک‌نت، یا حملات دیگر توسط مجرمان سایبری است.

به گفته تریت فابریک، یکی از ویژگی‌های کلیدی این کمپین، گسترش دامنه اهداف آن بود؛ به‌طوری‌که تعداد بیشتری از اپلیکیشن‌های بانکداری موبایلی در آمریکا را در بر گرفت.

بدافزارهای بانکی، ابزارهای رایجی در میان مجرمان سایبری هستند که برای سرقت اطلاعات حساس مالی طراحی شده‌اند.

این حملات معمولاً منجر به تراکنش‌های غیرمجاز، تصاحب حساب‌ها و خسارت‌های مالی سنگین برای قربانیان می‌شوند.

راندولف بار هشدار داد:

احتمالاً در آینده شاهد کمپین‌های پیشرفته‌تری خواهیم بود، مانند بدافزارهایی که با هوش مصنوعی، پوشش‌های شخصی‌سازی‌شده برای بانک‌ها ایجاد می‌کنند، یا بدافزارهایی با بارهای ماژولار که پس از نصب به‌صورت بلادرنگ بارگیری می‌شوند، یا تلاش برای دور زدن احراز هویت چندمرحله‌ای (MFA) از طریق پوشش صفحه یا سرقت توکن و حتی سوءاستفاده بیشتر از خدمات دسترسی و ربایش نشست‌ها (session hijacking).

در اوایل ماه ژوئن، تریت فابریک نسخه جدیدی از بدافزار بانکی اندرویدی کروکودیلوس (Crocodilus) را کشف کرد که در حال گسترش در اروپا، آمریکای جنوبی و بخش‌هایی از آسیاست.

نسخه جدید این بدافزار می‌تواند ورودی‌های جعلی به لیست مخاطبان کاربر اضافه کند و از این طریق تماس‌هایی از طرف شماره‌هایی شبیه پشتیبانی بانک برقرار کند؛ روشی که می‌تواند سیستم‌های ضدکلاهبرداری را دور بزند و کاربران را فریب دهد.