تروجان خطرناک همراه بانک با کمک Keylogger همه چیز را به سرقت می برد

هم رسان: مجرمان سایبری هر روز باهوش تر، خلاق تر و آگاه تر از قبل می شوند. آنها اکنون از روش های سنتی خود دست برداشته و از تکنیک های پیچیده تری استفاده می کنند که راه های حمله زیادی در آنها وجود دارد و به سختی می توان آنها را شناسایی کرد.

به گزارش پایگاه خبری هم رسان به نقل از هکرنیوز، محققان امنیت سایبری دریافته اند یکی از خطرناکترین باندهای تروجان همراه بانک، یک کی لاگر به نمونه های اخیر خود اضافه کرده که روش جدیدی را در اختیار مهاجمان قرار می دهد تا اطلاعات مهم و حساس قربانیان را به سرقت ببرند.
«رومن آناچک» تحلیلگر ارشد بد افزارها از شرکت Kaspersky Lab در اواسط ماه گذشته نسخه جدیدی از تروجان معروف همراه بانک با ویژگی جدید کی لاگر را با نام Svpeng شناسایی کرد که از سرویس های دسترسی پذیری (Accessibility Services) اندروید سوء استفاده می کند.

تروجان سرویس های دسترسی پذیری را برای اضافه کردن کی لاگر اکسپلویت می کند
کی لاگر اضافه شده به نسخه جدید Svpeng از سرویس های دسترسی پذیری سوء استفاده می کند. سرویس های دسترسی پذیری قابلیتی اندرویدی است که روش های جایگزینی برای ارتباط با دیگر گوشی های هوشمند در اختیار کاربران قرار می دهد.
این تغییر تروجان Svpeng را قادر می سازد تا نه تنها تمامی متن های ورودی به اپلیکیشن های نصب شده را سرقت کند و تمامی کلیدهای کلیک شده را ذخیره کند، بلکه امتیازها و اختیارهای زیادی به آن می دهد که به قربانیان اجازه لغو نصب تروجان را نمی دهد.
در پاییز سال گذشته، تروجان بانکی Svpeng در عرض دوماه توانست بیش از 318 هزار دستگاه اندرویدی را در سرتاسر دنیا به کمک آگهی های Google AdSense آلوده کند، این تروجان از این آگهی ها برای توزیع تروجان بانکی مخرب سوء استفاده کرده بود.
همچنین محققان طی ماه گذشته حمله دیگری را با نام حمله Cloak and Dagger شناسایی کردند که از سرویس های دسترسی پذیری اندروید سوء استفاده می کند. این حمله به هکرها اجازه می دهد بدون هیچ جلب توجهی کنترل کامل دستگاه های آلوده را به دست بگیرند و اطلاعات خصوصی را به سرقت ببرند.

مردم روسیه در امان هستند
نسخه جدید بدافزار Svpeng هنوز به صورت گسترده ای توزیع نشده اما این بدافزار در عرض یک هفته کاربران 23 کشور و از آن جمله روسیه، آلمان، ترکیه، لهستان و فرانسه را مورد حمله قرار داده است. نکته جالب توجه این است که اگرچه بیشتر کاربران آلوده به این بدافزار اهل روسیه هستند، اما این بدافزار هیچ گونه اقدام خرابکارانه ای در این دستگاه ها انجام نمی دهد.
طبق یافته های آناچک، تروجان پس از آلوده کردن دستگاه، ابتدا زبان دستگاه را بررسی می کند. در صورتی که زبان دستگاه روسی باشد، بدافزار از هرگونه اقدام مخربی ممانعت می کند، این مسئله حاکی از این است که احتمالاً گروه جنایی پشتیبانی کننده از این بدافزار روسی هستند که قوانین روسی مرتبط با هک کردن مردم را نقض نمی کنند.

نحوه سرقت پول توسط تروجان Svpeng
آناچک می گوید آخرین نسخه Svpeng که در تیرماه شناسایی شده، از طریق وب سایت های آلوده ای که به عنوان یک فلش پلیر جعلی تغییر چهره داده بودند منتشر شده بودند. همان طور که در بالا ذکر شد، نرم افزار مخرب پس از نصب، ابتدا زبان دستگاه را بررسی می کند و اگر زبان روسی نباشد، از دستگاه درباره استفاده از سرویس های دسترسی سؤال می کند که دستگاه آلوده را در معرض حملات خطرناکی قرار می دهد.
تروجان با دسترسی به سرویس های دسترسی پذیری، امتیاز ادمین دستگاه را در اختیار می گیرد، یک پوشش در بالای اپلیکیشن های مجاز نمایش می دهد، خود را به عنوان اپلیکیشن پیش فرض اس ام اس نصب می کند، و اختیارات مختلف و متغیری از جمله امکان برقراری تماس، ارسال و دریافت اس ام اس و خواندن مخاطبان به خود می دهد.
علاوه بر این، تروجان با استفاده از قابلیت های ادمین تازه به دست آورده خود، می تواند هر گونه تلاش قربانی را برای حذف امتیاز مدیر دستگاه را متوقف کرده و در نتیجه از لغو نصب بدافزار جلوگیری کند.
تروجان Svpeng با استفاده از سرویس های دسترسی پذیری به عملکرد درونی اپلیکیشن های دیگر دسترسی پیدا می کند که این مسئله به تروجان اجازه می دهد متن های وارد شده در اپلیکیشن های دیگر را سرقت کند و هر بار که قربانی دکمه ای را در صفحه کلید کلیک می کند، اسکرین شات بگیرد و از دیگر اطلاعات مهم موجود سوء استفاده کند.
آناچک می گوید: «بعضی از اپلیکیشن ها و به عنوان مثال اپلیکیشن های بانکی در زمان فعال بودن اجازه گرفتن اسکرین شات نمی دهند. در چنین مواردی تروجان از گزینه دیگری برای دزدیدن اطلاعات استفاده می کند، به این ترتیب که پنجره فیشینگ خود را بر روی اپلیکیشن مورد حمله باز می کند.»
جالب اینجاست که این تروجان برای یافتن برنامه های فعال نیز از سرویس های دسترسی پذیری استفاده می کند. سپس تمامی اطلاعات سرقت شده در سرور فرمان و کنترل (C&C) مهاجم آپلود می شود. آناچک می گوید به عنوان بخشی از تحقیقات خود موفق به ره گیری یک فایل پیکربندی رمزنگاری شده از سرور فرمان و کنترل بدافزار شده است.
رمزگشایی فایل به او کمک کرد برخی از وب سایت ها و برنامه هایی را که Svpeng مورد هدف قرار داده بود را شناسایی کند و همچنین به وی کمک کرد تا URL های حاوی صفحات فیشینگ مخصوص برنامه های موبایلی PayPal و eBay، و همچنین لینک های مربوط به برنامه های بانکداری از انگلیس، آلمان، ترکیه، استرالیا، فرانسه، لهستان و سنگاپور به دست آورد.
این فایل علاوه بر URL ها، همچنین اجازه می دهد بدافزار، دستورهای مختلفی از سرور C & C دریافت کند که شامل ارسال پیامک، جمع آوری اطلاعات ازجمله اطلاعات مخاطبین، برنامه های نصب شده و سیاهه های مربوط به تماس، باز کردن لینک مخرب، جمع آوری تمامی پیامک های ارسال شده از دستگاه و سرقت پیامک های ورودی می شود.

ترویج تروجان همراه بانک اندرویدی ‘Svpeng’
محققان آزمایشگاه کسپرسکی تروجان همراه بانک اندرویدی Svpeng را برای اولین بار در سال 2013، با قابلیت اولیه فیشینگ، کشف کردند.
در سال 2014، این بدافزار در طی تغییراتی یک بخش باج افزاری دریافت کرد که دستگاه قربانی را به دلیل بازدید از سایت های حاوی پورنو گرافی توسط اف بی آی مسدود کرده و از کاربران 500 دلار تقاضا می کرد.
این بدافزار از اولین مواردی بود که به بانک پیامک ها حمله می کرد، از صفحات وبی فیشینگ برای کنترل دیگر اپلیکیشن ها در اقدام برای سرقت اطلاعات بانکی استفاده می کرد و دستگاه ها را مسدود کرده و از آنها درخواست پول می کرد.
در سال 2016، جنایتکاران سایبری با سوء استفاده از یک آسیب پذیری در مرورگر کروم و در حال حاضر با سوء استفاده از سرویس های دسترسی پذیری، Svpeng را از طریق Google AdSense توزیع کردندکه Svpeng را به خطرناکترین بدافزار همراه بانک دنیا تبدیل کرد که تقریباً تمامی اطلاعات موجود در دستگاه از اطلاعات فیس بوک گرفته تا حساب های بانکی و کارت های اعتباری را به سرقت می برد.

چگونه از گوشی هوشمند خود در برابر هکرها مراقبت کنیم

این تروجان بانکی تنها از طریق سرویس های دسترسی پذیری می تواند تمامی امتیازات و مجوزهای لازم برای سرقت اطلاعات موجود در دستگاه آلوده را به دست آورد.
تکنیک های مخرب Svpeng حتی در دستگاه های اندرویدی به روز شده با آخرین نسخه اندروید و تمامی به روز رسانی های امنیتی نیز عمل می کند، بنابراین این کمترین کاری است که کاربران می توانند برای محافظت از خود انجام دهند.
اقدامات امنیتی و مراقبتی استانداردی برای جلوگیری از آلوده شدن دستگاه وجود دارد که کاربران با انجام آنها می توانند از شر این گونه بدافزارها در امان باشند:
همیشه از منابع مطمئن مانند Google Play Store و Apple App Store اپلیکیشن های مورد نیاز خود را بگیرید و تنها از توسعه دهندگان معتبر و تائید شده استفاده کنید.
پیش از نصب برنامه، مجوزهای برنامه را تائید کنید. ∙ در صورتی که برنامه ای چیزی به غیر از موارد در نظر گرفته شده درخواست کرد به هیچ وجه آن را نصب نکنید.
اپلیکیشن های مورد نیاز خود را از منابع متفرقه دانلود نکنید زیرا این بدافزار در بیشتر مواقع از طریق همین منابع منتشر می شود.
از هات اسپات های وای فای ناشناس و ناامن اجتناب کرده و در صورت عدم نیاز وای فای خود را خاموش کنید.
به هیچ وجه بر روی لینک های ارسال شده از طریق پیامک، MMS و یا ایمیل کلیک نکنید. حتی اگر ایمیلی مجاز و درست به نظر رسید، مستقیماً به سایت مبدأ بروید و به روزرسانی های احتمالی را از آنجا بررسی کنید.
یک اپلیکیشن آنتی ویروس خوب بر روی دستگاه خود نصب کنید که بتواند این بدافزارها را قبل از آلوده کردن دستگاهتان شناسایی و مسدود کند، و آنتی ویروس خود را همیشه به روزرسانی کنید.

دیجیاتو آپارات...