محققان اخیراً یک تروجان بانکداری جدید کشف کردند که نسخههای 7 و 8 اندروید را هدف قرار میدهد و از کارگزار فرمان و کنترل (C & C) مشابه با #تروجانهای_LokiBotو Threat Fabricاستفاده میکند.
طبق نظریهی محققان، این تروجان جدید که MysteryBot نامیده میشود، یا یک بهروزرسانی از تروجان LokiBot و یا یک خانوادهی جدید بدافزار از همان فعالان تهدید است. این تهدید جدید سایبری، چندین تفاوت نسبت به LokiBot دارد. این تفاوتها شامل نام، دستورات بهبودیافته و ارتباطات شبکهی اصلاحشده است.
این بدافزار جدید علاوهبر ویژگیهای عمومی تروجانهای اندرویدی، دارای قابلیتهای تماس با شمارهی تلفن دادهشده، دریافت لیست اطلاعات تماس، تماسهای انتقالیافته، کپی تمام پیامکها، واردکردن ضربات کلید، رمزگذاری فایلها در ذخیرهسازی خارجی، حذف همهی مخاطبین، ارسال پیامک به تمام مخاطبین، تغییر برنامهی پیشفرض پیامک، تماس با یک شمارهی USSD، حذف تمام پیامکها و ارسال پیامک است.
علاوهبر این قابلیتها، این تروجان میتواند صفحات ماحیگری را در بالای برنامههای مشروع قرار دهد و برای انجام اینکار، از یک تکنولوژی جدید بهمنظور اطمینان از موفقیت در دستگاههای اندروید 7 و 8 استفاده میکند.
محدودیتهای امنیتی پیشرفتهی لینوکس (SELinux) و سایر کنترلهای امنیتی در نسخههای جدید اندروید، به معنای جلوگیری از نمایش بدافزارها بر روی برنامههای مشروع است. تکنیک جدیدی که MysteryBot از آن استفاده میکند، مجوز "Android PACKAGE_USAGE_STATS" (مجوز استفادهی مجدد) را برای ازبینبردن محدودیتها دستکاری میکند و همچنین از "Accessibility Service" برای دریافت مجوزها سوءاستفاده میکند.
این بدافزار، خود را بهعنوان یک برنامهی Adobe Flash Playerتحمیل میکند و از قربانی میخواهد تا «مجوز دسترسی استفاده» که قابلیتهای نامطلوبی را فراهم میکند، به آن اعطا کند. پس از آن تلاش میکند تا نام بستههای برنامهها را در پیشزمینه نظارت کند. MysteryBot با استفاده از همپوشانی، بیش از 100 برنامه از جمله بانکداری تلفن همراه و برنامههای اجتماعی را هدف قرار میدهد.
MysteryBot همچنین از روش جدیدی برای واردکردن ضربات کلید استفاده میکند. این بدافزار، محل کلیدهای روی صفحه را محاسبه میکند (درنظر میگیرد که هر کلید، دارای یک موقعیت مکانی روی صفحه است) و مختصات دیگری را بر روی هر یک از آنها قرار میدهد (عرض و ارتفاع صفر پیکسل) که به او اجازه میدهد تا کلید فشار دادهشده را ثبت کند.
بهنظر میرسد که کد این بدافزار همچنان در حال توسعه است، زیرا هنوز قابلیت ارسال ضربات کلید واردشده به کارگزار C & Cرا ندارد.
MysteryBot همچنین شامل قابلیتهای قفلکننده/باجافزاری است که توسط داشبورد جداگانهای از این تروجان مدیریت میشوند. این تروجان میتواند هر فایل را بهطور جداگانه در پوشهی ذخیرهسازی خارجی رمزگذاری کند و سپس فایل های اصلی را حذف کند.
این بدافزار هر فایل را در بایگانی ZIPمحافظتشده با گذرواژه قرار میدهد، اما از گذرواژهی مشابه برای همهی بایگانیها استفاده میکند (این کلید در طول زمان اجرا تولید میشود). هنگام تکمیل رمزگذاری، این بدافزار، یک گفتگو را نمایش میدهد که ادعا میکند قربانی، موارد خطرناکی را مشاهده کرده است و از او میخواهد تا از طریق پست الکترونیکی، با مهاجم تماس بگیرد.
محققان امنیتی دریافتند که گذرواژهی این بدافزار فقط 8 کاراکتر طول دارد و از حروف الفبای لاتین (حروف بزرگ و کوچک) همراه با عدد استفاده میکند. علاوهبراین، شناسهی اختصاص دادهشده به هر قربانی، تنها میتواند یک عدد بین 0 و 9999 باشد؛ به این معنی که همان شناسه میتواند در واقع به چندین قربانی اختصاص داده شود.
متخصصان فنآوری اطلاعات هنگام تجزیه و تحلیل ویژگیهای باجافزاری MysteryBot، چندین خطا را شناسایی کردند. از آنجایی که گذرواژهی این بدافزار فقط 8 کاراکتر طول دارد بهراحتی میتوان آنرا با حملهی جستجوی فراگیر بهدست آورد. همچنین، این احتمال وجود دارد که شناسهی منحصربهفرد دادهشده به قربانی را بتوان با قربانی جدید با همان شناسه رونویسی کرد. بنابراین، قربانیان قدیم قادر نخواهند بود اطلاعات خود را بازیابی کنند.
بهنظر میرسد Mysterybotیک گام جدید در توسعهی نرمافزارهای مخرب بانکداری برای اندروید باشد که هم ویژگیهای مخرب Lokibotو هم ویژگیهای باجافزاری و دریافت ضربات کلید را دارد.
- 4