در آوریل 2016، هنگام بررسیِ یک کمپین فیشینگِ پیامکی به نام RuMMS که هدفهایی از اروپا با سیستم عامل اندروید را هدف قرار میداد، متوجه سه کمپینِ فیشینگِ پیامکی دیگر شدیم که بنا به گزارشها در دانمارک(فوریه ۲۰۱۶)، در ایتالیا(فوریه ۲۰۱۶) و در ایتالیا و دانمارک(آوریل ۲۰۱۶) پخش میشدند.
برخلاف کمپین RuMMS، این سه کمپین در اروپا از تکنیکهای view overlay،همان تکنیکهایی که در بدافزار SlemBunk استفاده شده بود، استفاده کردند تا ورودیهایی مشابه با برنامههای گوشی برای اطلاعات ورود به نمایش بگذارند، و در ادامه کاربرانی که در جریان نبودند را گول بزنند تا اطلاعات بانکی خود را در اختیارشان قرار دهند.شکل۱ روند اینکه چطور این بدافزارهای پوششی توسط فیشینگِ پیامکی پخش میشدند و کاربران اندروید را آلوده میکردند را نشان میدهد.
عاملان تهدید معمولاً ابتدا سرورهای دستور و کنترل(C2) و سایتهای میزبانیِ بدافزار را پیکربندی میکنند، سپس بدافزارها را بر روی سایتهای میزبانی قرار میدهند و لینکی که به بدافزار هدایت میکند را از طریق SMS برای قربانی میفرستند. پس از نصبشدن روی دستگاه، بدافزار یک پروسه را برای مانیتور کردن اینکه کدام برنامه در حال اجرا روی صفحهی کاربر(foreground) است، راهاندازی میکند. وقتی کاربر یک برنامهی آشنا را روی صفحه اجرا میکند که بدافزار برای هدفقرار دادنِ آن برنامه طراحی شده است(مثلاً اپلیکیشن بانک)، بدافزار یک view برای فیشینگ در روی آن برنامه به صورت overlay(پوششی) به نمایش در میآورد. کاربری که در جریان این حمله نیست، با فرض اینکه از برنامهی معتبری استفاده میکند، ورودیهای مورد نیاز(اطلاعات کارت بانکی) را وارد میکند؛ که این اطلاعات به سرور C2 که توسط گردانندگان این ویروس کنترل میشود ارسال میشوند.
- 4