Android.FakeBank می‌تواند اطلاعات حساس دستگاه‌های اندرویدی از جمله؛ لیست مخاطبین، داده‌های مکانی و پیام‌های متنی مرتبط با کارت بانکی متصل را دریافت نماید.


Android.FakeBank می‌تواند اطلاعات حساس دستگاه‌های اندرویدی از جمله؛ لیست مخاطبین، داده‌های مکانی و پیام‌های متنی مرتبط با کارت بانکی متصل را دریافت نماید.
محققان امنیتی یک تروجان بانکی مخرب را کشف کرده‌اند که می‌تواند پیام‌های متنی حساس بانکی شامل اطلاعات مالی و پولی کاربران را دریافت و به سرقت ببرد و همچنین علاوه‌بر سرقت اطلاعات پرداخت، مانع از دریافت هشدار ارسالی از سوی بانک شود. به‌گفته محققان شرکت "ترند میکرو"، بدافزار Android.FakeBank در بسیاری از برنامه‌های نرم‌افزاری مدیریت SMS و MMS مشاهده شده‌است و عمدتاً قربانیان را در روسیه و دیگر کشورهای انگلیسی‌زبان هدف قرار می‌دهد.


به گفته محققان قابلیت‌های مدیریت SMS تبلیغاتی، رویکردی برعلیه قربانی تبدیل شده‌است. این بدافزار مخرب، پیام‌های متنی را در یک طرحی برای سرقت پول از کاربران آلوده به این بدافزار، از طریق سیستم‌های بانکی تلفن‌همراه دریافت می‌کند. محققان مشاهده کرده‌اند که این بدافزار، مشتریان بسیاری از مؤسسات‌مالی روسیه مانند Sberbank، Leto Bank و VTB24 Bank را هدف قرار می‌دهد و این بدافزار در کشورهای چین، اوکراین، رومانی و آلمان در میان کشورهای دیگر دیده شده‌است.
پس از نصب بدافزار بر روی دستگاه موبایل، سریعاً جایگزین برنامه مدیریت SMS پیش‌فرض بر روی دستگاه می‌شود و آیکون آن‌را پنهان می‌کند. این کار به نرم‌افزار مخرب اجازه می‌دهد تا پیام‌های ارسالی و دریافتی و حتی پیام‌های حذف‌شده را نظارت و تجزیه‌وتحلیل کند. این بدان معنی‌است که Android.FakeBank، هرگونه تأیید یا درخواست از بانک به کاربر را می‌تواند متوقف و حذف‌کند و به‌طور کلی فقط به جمع‌آوری اطلاعات ورود به سیستم بانکی اکتفا نمی‌کند؛ بلکه بر تماس‌های تلفنی فرد قربانی نیز نظارت می‌کند، به‌طوری‌که اگر تماسی از سوی شماره‌تلفن خدمات به مشتریان بانک‌های خاص دریافت شود، این تروجان لغو تماس می‌نماید. درعوض، کاربران برای ارتباط با بانک خود مجبور به استفاده از ایمیل و یا شماره تلفن‌های دیگری هستند.


علاوه بر کنترل عملکرد و بسته شبکه باز، این برنامه مخرب می‌تواند به‌راحتی به اینترنت متصل شود و اطلاعات به‌سرقت‌رفته را بدون اطلاع کاربران، در اختیار سرور فرمان و کنترل (C&C) ارسال کند، و همچنین، این تروجان، به‌طور مخفیانه تماس‌های ارسالی بر روی گوشی قربانی را به شماره هکرها هدایت می‌کند.

از آنجا که بسیاری از کاربران، حساب‌های بانکی خود را از طریق گوشی‌هایشان متصل و تصمیم به دریافت اعلان‌های پیام‌های متنی می‌کنند، بدافزار می‌تواند این پیام‌ها را به‌منظور سرقت اطلاعات حساب بانکی حساس، مانند پیام‌های کد امنیتی استفاده کند. سپس مجرمان سایبری می‌توانند از داده‌های به‌سرقت‌رفته برای ورود به حساب‌های بانکی آنلاین قربانیان استفاده کنند، و به‌طور مخفیانه با استفاده از رمزهای عبور، پول‌های حساب بانکی کاربران را به حساب خود انتقال دهند.

همچنین بدافزار Android.FakeBank می‌تواند اطلاعات حساس را از دستگاه موبایل، شامل شماره‌ تلفن‌های کاربران، لیستی از برنامه‌های بانکی نصب‌شده، اطلاعات کارت‌های بانکی ذخیره‌شده و داده‌های مکانی را سرقت نماید. محققان برخی از نمونه‌های بدافزار را مشاهده کردند که دسترسی اعطای مدیریت را از کاربر درخواست می‌نمودند و بنابراین با اعطای اجازه دسترسی به آنان، به دستگاه موبایل ورود پیدا می‌نمایند و مقاصد و اغراض خود را عملی می‌کردند.


محققان گفتند: همچنین Android.FakeBank کاربر را از باز‌کردن برنامه قانونی بانک، برای جلوگیری از هرگونه تغییر در رابطه بین شماره کارت بانکی و شماره موبایل متوقف می‌کند. در این‌صورت، ما می‌توانیم فرض کنیم که توسعه‌دهنده نرم‌افزارهای مخرب با فرمت پیام‌های بانکی و فرآیند انتقال بسیار آشنا هستند همان‌طور که همه اعلان‌های پرداخت SMS اشاره شده و با C&C تقسیم شده‌اند.

همچنین محققان اظهار داشته‌اند: که برای اطمینان از انجام مؤفقیت‌آمیز فعالیت‌های مخرب آن، بدافزار از باز کردن تنظیمات دستگاه به احتمال زیاد برای جلوگیری از نصب جلوگیری می‌کند، و همچنین این دستگاه را برای هرگونه نرم‌افزار ضد ویروس بررسی می‌کند و بدون انجام هر کاری از آن خارج می‌شود.


به گفته شرکت ترندمیکر: این یک تاکتیک است که به آن کمک می‌کند که گزارش‌نشده باقی بماند و تحت سیستم رادار قرار گیرد. یکی از عناصر برجسته این بدافزار روشی است که بار مفید خود را پنهان می‌کند، این بدافزار رفتارهای متفاوتی دارد که باعث می‌شود کاربران آلوده، از شر آن خلاص شوند و برای یافتن راه‌حل‌های امنیتی برای شناسایی آن استفاده کنند، که در واقع از سه روش مختلف برای ممانعت از حمل بارهای مخرب استفاده می‌کند. این تکنیک‌ها در پیچیدگی و توسعه‌دهندگان به نظر می‌رسد که یک روش چند لایه برای اجتناب از قرارگرفتن در معرض خطر استفاده می‌کنند.

محققان اظهار داشتند که اکثر دامنه‌های C&C، Android.FakeBank دارای آدرس‌هایIP هستند که در منطقه Warmia-Masuria در لهستان و روسیه قرار دارند. آن‌ها همچنین خاطرنشان کردند که اغلب این نشانی‌ها توسط یک شرکت به نام Wuxi Yilian ثبت شده‌اند که قبلاً با سایر دامنه‌های جعلی دیگر متصل بوده‌است.

ترجمه: وحید ذبیح‌اله‌نژاد
منبع:
آی‌بی‌تایمز
https://www.cyberpolice.ir/news/119781