دو بدافزار جدید اندرویدی با قابلیت سرقت حساب‌های بانکی شناسایی شدند

موبنا – برنامه‌ی آنتی‌ویروس Mister Phone Cleaner و Kylhavy Mobile Security تاکنون درمجموع ۶۰ هزاربار دانلود شده‌اند و هدف آن‌ها، سرعت اطلاعات ورود به حساب‌های بانکی است که این کار را ازطریق نصب نسخه‌ی کامل‌تر بدافزار بدنام SharkBot انجام می‌دهند.

این دو برنامه ابتدا در فروشگاه گوگل‌پلی منتشر شدند زیرا کد مخربی در آن‌ها وجود نداشت که باعث شود گوگل آن‌ها را رد کند. Mister Phone Cleaner و Kylhavy Mobile Security برنامه‌های کمکی هستند که برای انتقال بدافزار به گوشی‌های هوشمند اندرویدی ایجاد شده‌اند. پس از نصب این برنامه‌ها، پیامی به کاربر نمایش داده می‌شود که اعلام می‌کند برای محافظت کامل‌تر دربرابر تهدیدات، بسته‌ی به‌روزرسانی را نصب کنند که درواقع این فرایند، روشی برای نصب SharkBot روی گوشی قربانیان است.

اگرچه این اپلیکشین‌ها اکنون از فروشگاه گوگل‌پلی حذف شده‌اند، اما افرادی که آن‌ها را قبلاً دانلود کرده‌اند باید هرچه‌ سریع‌تر نسبت به حذف آن‌ها اقدام کنند، در غیر این‌صورت، احتمال به‌خطر افتادن اطلاعات شخصی و حساب‌های حساس ازجمله حساب‌های بانکی آن‌ها وجود دارد.

SharkBot اولین‌بار در اواخر سال ۲۰۲۱ کشف و اولین برنامه‌های همراه با آن در ماه مارس سال جاری در فروشگاه اپلیکیشن گوگل شناسایی شد. شیوه‌ی کار در آن زمان، سرقت اطلاعات ازطریق کی‌لاگر (Keylogger)، رهگیری پیام‌های متنی، فریب کاربران با استفاده از حملات هم‌پوشانی صفحه برای افشای اطلاعات حساس، یا دادن کنترل از راه‌دور دستگاه آلوده به مجرمان سایبری با سوءاستفاده از سرویس‌های دسترسی بود.

نسخه‌ی ارتقایافته‌ای به نام SharkBot 2 در ماه می مشاهده و Fox-IT در ۲۲ آگوست به‌طور تصادفی با نسخه ۲.۲۵ مواجه شد؛ آپدیتی که می‌توانست ازطریق کوکی‌ها و ورود کاربر به حساب‌های بانکی، سرقت کند. برنامه‌های تازه کشف‌شده با SharkBot 2.25 از خدمات دسترس‌پذیری سوءاستفاده نمی‌کنند و همچنین نیازی به ویژگی پاسخ مستقیم ندارند، زیرا این موارد می‌تواند تأیید آن‌‌ها را برای انتشار رسمی در گوگل پلی سخت‌تر کند.

بدافزارهای جدید SharkBot درعوض از سرورهای فرمان و کنترل می‌خواهند که فایل APK Sharkbot را به‌طور مستقیم دریافت کنند. پس از آن، برنامه‌های Dropper به کاربر درمورد به‌روزرسانی جدید، اطلاع می‌دهند و از او درخواست می‌کنند که APK را نصب و مجوزهای لازم را اعطا کند.

SharkBot برای جلوگیری از شناسایی خودکار، پیکربندی خود را که به روش هارد کد (Hard Coded) برنامه‌نویسی شده است، به‌صورت رمزنگاری‌شده ذخیره می‌کند.

هنگامی‌که کاربر وارد حساب بانکی خود می‌شود، SharkBot با استفاده از لاگر مخصوصش، کوکی‌های جلسه معتبر را حذف و آن را به سرور فرمان و کنترل ارسال می‌کند. کوکی‌ها برای عوامل تهدید ارزشمند هستند، زیرا به آن‌ها کمک می‌کنند تا بررسی اثر انگشت را دور زده و در برخی موارد حتی به توکن‌های احرازهویت کاربر نیاز نداشته باشند.

SharkBot می‌تواند داده‌هایی مثل گذرواژه و موجودی حساب را از برنامه‌های بانکی رسمی به‌سرقت ببرد. البته در برخی از برنامه‌ها، اثر انگشت می‌تواند از ورود مهاجمان جلوگیری کنند.

به‌نظر می‌رسد SharkBot کاربران استرالیا، اتریش، آلمان، ایتالیا، لهستان، اسپانیا، بریتانیا و ایالات متحده را هدف قرار داده است.

توسعه‌دهندگان SharkBot همچنان در تلاش هستند تا این بدافزار را بهبود دهند و Fox-IT انتظار دارد این تیم در آینده، کمپین‌های بدافزاری بیشتری راه‌اندازی کند.

برای جلوگیری از گرفتار شدن در دام چنین برنامه‌هایی، بهتر است آن‌ها را از ناشران ناشناس دانلود نکنید، به‌ویژه مواردی که محبوبیت زیادی میان کاربران ندارند.

 منبع: زومیت