مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانهای در جدیدترین گزارش خود خبر از یک بدافزار جدید به نام MysteryBot داد که ضمن آلوده کردن نسخههای ۷ و ۸ سیستمعامل اندروید، نسل جدیدی از نرمافزارهای مخرب بانکداری را هم به همراه آورده است.
به گزارش مهر، محققان امنیتی به تازگی یک بدافزار امنیتی را کشف کردهاند که در دستهی تروجانها قرار داشته و هدف آن آلوده کدرن نسخههای ۷ و ۸ سیستمعامل اندروید است و از لحاظ ساختاری هم به بدافزارهای LokiBot و Threat Fabric شباهت دارد.
در رابطه با نحوهی عملکرد این بدافزار اعلام شده است که این برنامه در قالب یک برنامه فلش پلیر (Adobe Flash Player) مخاطب را گمراه کرده و از او مجوزهای دسترسی مورد نیازش را دریافت میکند. این تروجان جدید که MysteryBot نام دارد، با استفاده از تکنیکهای همپوشانی بیش از ۱۰۰ برنامه مختلف از جمله اپلیکیشنهای بانکداری را مورد هدف قرار میدهد.
مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه در این رابطه بیان کرده است:
این بدافزار جدید علاوه بر ویژگیهای عمومی تروجانهای اندرویدی، دارای قابلیتهای تماس با شماره تلفن دادهشده، دریافت لیست اطلاعات تماس، تماسهای انتقالیافته، کپی تمام پیامکها، واردکردن ضربات کلید، رمزگذاری فایلها در ذخیرهسازی خارجی، حذف همه مخاطبین، ارسال پیامک به تمام مخاطبین، تغییر برنامه پیشفرض پیامک، تماس با یک شماره USSD، حذف تمام پیامکها و ارسال پیامک است.
بر اساس بررسیهای محققان، این بدافزار نمونهی ارتقا یافتهی تروجان LokiBot بوده یا در حالت دیگری یکی از بدافزارهای همین خانواده است. علاوهبر این قابلیتها، این تروجان از یک تکنولوژی جدید بهمنظور اطمینان از موفقیت در دستگاههای اندروید ۷ و ۸ استفاده میکند. تکنیک جدیدی که MysteryBot از آن استفاده میکند، مجوز «Android PACKAGE_USAGE_STATS» (مجوز استفاده مجدد) را برای از بینبردن محدودیتها دستکاری میکند و همچنین از «Accessibility Service» برای دریافت مجوزها سوءاستفاده میکند.
همچنین MysteryBot با استفاده از روش جدیدی میتواند واردکردن ضربات کلید را شناسایی کرده و این گونه عملکرد بهتری را در ثبت اطلاعات کاربر نشان میدهد. این بدافزار در کنار تمامی این موارد به قابلیتهای قفل کننده یا همان باجافزاری هم تجهیز شده است و میتواند همانند نمونههای مشابه، فایلهای هدف را رمزنگاری کرده و سپس با از دسترس خارج کردن فایلهای اصلی، به این روش از قربانی سودجویی کند.
این بدافزار هر فایل را در بایگانی ZIP محافظتشده با گذرواژه قرار میدهد، اما از گذرواژه مشابه برای همه بایگانیها استفاده میکند (این کلید در طول زمان اجرا تولید میشود). هنگام تکمیل رمزگذاری، این بدافزار، یک گفتگو را نمایش میدهد که ادعا میکند قربانی، موارد خطرناکی را مشاهده کرده است و از او میخواهد تا از طریق پست الکترونیکی، با مهاجم تماس بگیرد.
محققان امنیتی دریافتند که گذرواژه این بدافزار فقط ۸ کاراکتر طول دارد و از حروف الفبای لاتین (حروف بزرگ و کوچک) همراه با عدد استفاده میکند. علاوه براین، شناسه اختصاص دادهشده به هر قربانی، تنها میتواند یک عدد بین ۰ و ۹۹۹۹ باشد؛ به این معنی که همان شناسه میتواند در واقع به چندین قربانی اختصاص داده شود.
متخصصان فناوری اطلاعات هنگام تجزیه و تحلیل ویژگیهای باجافزاری MysteryBot، چندین خطا را شناسایی کردند. از آنجایی که گذرواژه این بدافزار فقط ۸ کاراکتر طول دارد بهراحتی میتوان آن را با حمله جستجوی فراگیر بهدست آورد. همچنین، این احتمال وجود دارد که شناسه منحصربهفرد دادهشده به قربانی را بتوان با قربانی جدید با همان شناسه رونویسی کرد. بنابراین، قربانیان قدیم قادر نخواهند بود اطلاعات خود را بازیابی کنند.
بهنظر میرسد Mysterybot یک گام جدید در توسعه نرمافزارهای مخرب بانکداری برای اندروید باشد که هم ویژگیهای مخرب Lokibot و هم ویژگیهای باجافزاری و دریافت ضربات کلید را دارد.
نظر خود را اضافه کنید.
برای ارسال نظر وارد شوید
ارسال نظر بدون عضویت در سایت