مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانهای در جدیدترین گزارش خود خبر از یک بدافزار جدید به نام MysteryBot داد که ضمن آلوده کردن نسخههای ۷ و ۸ سیستمعامل اندروید، نسل جدیدی از نرم‌افزارهای مخرب بانکداری را هم به همراه آورده است.

به گزارش مهر، محققان امنیتی به تازگی یک بدافزار امنیتی را کشف کردهاند که در دستهی تروجانها قرار داشته و هدف آن آلوده کدرن نسخههای ۷ و ۸ سیستمعامل اندروید است و از لحاظ ساختاری هم به بدافزارهای LokiBot و Threat Fabric شباهت دارد.

در رابطه با نحوهی عملکرد این بدافزار اعلام شده است که این برنامه در قالب یک برنامه فلش پلیر (Adobe Flash Player) مخاطب را گمراه کرده و از او مجوزهای دسترسی مورد نیازش را دریافت میکند. این تروجان جدید که MysteryBot نام دارد، با استفاده از تکنیکهای همپوشانی بیش از ۱۰۰ برنامه مختلف از جمله اپلیکیشنهای بانکداری را مورد هدف قرار میدهد.

مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه در این رابطه بیان کرده است:

این بدافزار جدید علاوه‌ بر ویژگی‌های عمومی تروجان‌های اندرویدی، دارای قابلیت‌های تماس با شماره‌ تلفن داده‌شده، دریافت لیست اطلاعات تماس، تماس‌های انتقال‌یافته، کپی تمام پیامک‌ها، واردکردن ضربات کلید، رمزگذاری فایل‌ها در ذخیره‌سازی خارجی، حذف همه‌ مخاطبین، ارسال پیامک به تمام مخاطبین، تغییر برنامه‌ پیش‌فرض پیامک، تماس با یک شماره‌ USSD، حذف تمام پیامک‌ها و ارسال پیامک است.

بر اساس بررسیهای محققان، این بدافزار نمونهی ارتقا یافتهی تروجان LokiBot بوده یا در حالت دیگری یکی از بدافزارهای همین خانواده است. علاوه‌بر این قابلیت‌ها، این تروجان از یک تکنولوژی جدید به‌منظور اطمینان از موفقیت در دستگاه‌های اندروید ۷ و ۸ استفاده می‌کند. تکنیک جدیدی که MysteryBot از آن استفاده می‌کند، مجوز «Android PACKAGE_USAGE_STATS» (مجوز استفاده‌ مجدد) را برای از بین‌بردن محدودیت‌ها دستکاری می‌کند و همچنین از «Accessibility Service» برای دریافت مجوزها سوءاستفاده می‌کند.

همچنین MysteryBot با استفاده از روش جدیدی میتواند واردکردن ضربات کلید را شناسایی کرده و این گونه عملکرد بهتری را در ثبت اطلاعات کاربر نشان میدهد. این بدافزار در کنار تمامی این موارد به قابلیتهای قفل کننده یا همان باجافزاری هم تجهیز شده است و میتواند همانند نمونههای مشابه، فایلهای هدف را رمزنگاری کرده و سپس با از دسترس خارج کردن فایلهای اصلی، به این روش از قربانی سودجویی کند.

این بدافزار هر فایل را در بایگانی ZIP محافظت‌شده با گذرواژه قرار می‌دهد، اما از گذرواژه‌ مشابه برای همه‌ بایگانی‌ها استفاده می‌کند (این کلید در طول زمان اجرا تولید می‌شود). هنگام تکمیل رمزگذاری، این بدافزار، یک گفتگو را نمایش می‌دهد که ادعا می‌کند قربانی، موارد خطرناکی را مشاهده کرده است و از او می‌خواهد تا از طریق پست الکترونیکی، با مهاجم تماس بگیرد.

محققان امنیتی دریافتند که گذرواژه‌ این بدافزار فقط ۸ کاراکتر طول دارد و از حروف الفبای لاتین (حروف بزرگ و کوچک) همراه با عدد استفاده می‌کند. علاوه‌ براین، شناسه‌ اختصاص داده‌شده به هر قربانی، تنها می‌تواند یک عدد بین ۰ و ۹۹۹۹ باشد؛ به این معنی که همان شناسه می‌تواند در واقع به چندین قربانی اختصاص داده شود.

متخصصان فناوری اطلاعات هنگام تجزیه و تحلیل ویژگی‌های باج‌افزاری  MysteryBot، چندین خطا را شناسایی کردند. از آنجایی که گذرواژه‌ این بدافزار فقط ۸ کاراکتر طول دارد به‌راحتی می‌توان آن ‌را با حمله‌ جستجوی فراگیر به‌دست آورد. همچنین، این احتمال وجود دارد که شناسه‌ منحصربه‌فرد داده‌شده به قربانی را بتوان با قربانی جدید با همان شناسه رونویسی کرد. بنابراین، قربانیان قدیم قادر نخواهند بود اطلاعات خود را بازیابی کنند.

به‌نظر می‌رسد Mysterybot یک گام جدید در توسعه‌ نرم‌افزارهای مخرب بانکداری برای اندروید باشد که هم ویژگی‌های مخرب Lokibot و هم ویژگی‌های باج‌افزاری و دریافت ضربات کلید را دارد.

مطالب مرتبط پیشنهادی

نظر خود را اضافه کنید.

ارسال نظر بدون عضویت در سایت

0
  • هیچ نظری یافت نشد

ورود به شهرسخت‌افزار

ثبت نام در شهر سخت افزار
ورود به شهر سخت افزار

ثبت نام در شهر سخت افزار

نام و نام خانوادگی(*)
لطفا نام خود را وارد کنید

ایمیل(*)
لطفا ایمیل خود را به درستی وارد کنید

رمز عبور(*)
لطفا رمز عبور خود را وارد کنید

شماره موبایل
Invalid Input

جزو کدام دسته از اشخاص هستید؟(*)

لطفا یکی از موارد را انتخاب کنید