خلاصه: در روز های اخیر یک بدافزار اندرویدی خطرناک که توانایی انجام عملیاتهایی مانند برقراری تماس، ضبط صدا و استخراج اطلاعات بانکی و سرقت رمزهای عبور را دارا است، پدیدار شده است. هدف اصلی این بدافزار مورد حمله قرار دادن نرم افزارهای بانکی و کیف پولهای معتبر است.
این بدافزار که هدف آن استخراج اطلاعات بانکی از نرمافزارهای بانکی اندرویدی است، برای این که حملات مهلکتری را انجام دهد، از فعالیتهای کاربران نیز استفاده میکند؛ بدین صورت که کاربران را در یک سری حلقههای فعالیت تکراری قرار داده تا بتواند مجوزهای دسترسی را بدست آورد و در آینده نزدیک از مجوزها بدون اجازه کاربران استفاده کند.
محققان شرکت Heal توانستهاند تعدادی از دستورات این بدافزار که از سرور کنترل و فرمان آن آمده است را شناسایی کرده و متوقف سازند.
هنگامی که این بدافزار برای اولین بار مورد استفاده قرار میگیرد، یک صفحه ورودی جعلی برای سرقت اطلاعات کاربر نشان داده میشود. این نوع حملات اجازه باز شدن صفحات جعلی را به جای صفحات اصلی میدهد.
فایل APK این بدافزار بسیار مبهم بوده و با رمزنگاری رشتهها، و اضافه کردن مقداری اطلاعات جعلی، کار را برای مهندسی معکوس پیچیده میسازد.
این بدافزار قابلیت امنیتی گوگل Google Play Protection را در سیستم کاربر چک میکند و اگر این ویژگی فعال بود با نشان دادن یک پیام جعلی بدین منظور که: برنامه شما به درستی کار نمی کند، Google Play Protection را غیر فعال نمایید، در واقع کاربر را مجبور میسازد تا این ویژگی امنیتی را غیرفعال کرده و راه را برای حملات این بدافزار راحت نماید.
محققان همچنین متوجه شدهاند هنگامی که کاربر میخواهد نرم افزار مربوطه را پاک کند، این بدافزار خطای ۴۹۵ را نمایش میدهد.
فرد مهاجم و این بدافزار برای ارتباط با یکدیگر از اکانت توییتر استفاده کرده و فرد حمله کننده آدرس سرور کنترل و فرمان را برای بدافزار پست کرده و این بدافزار برای برقراری ارتباط از این آدرس استفاده میکند؛ برای مثال اگر بدافزار دستور “cryptoKey” را دریافت کند، تمام فایلهای روی دستگاه قربانی را به صورت فایلهایی با پسوند AnubisCrypt تغییر میدهد.
کشور ما متاسفانه رتبه اول آلودگی دستگاههای موبایل دارد. کاربران باید در نصب برنامهها حساس باشند و از منابع غیرمعتبر برنامهها را دانلود نکنند. همچنین در زمان نصب یک برنامه دسترسیهایی که از شما درخواست میشود را مطالعه کنید.
