این 2 بدافزار اندرویدی از حساب بانکی شما دزدی می‌کنند

به گفته کارشناسان امنیت سایبری Fox-IT، دو اپلیکیشن خطرناک با تعداد قابل‌توجهی دانلود از فروشگاه گوگل پلی حذف شده‌اند و کاربران اندروید نیز باید هرچه‌ زودتر نسبت به حذف آنها اقدام کنند. برنامه‌های آنتی ویروس Mister Phone Cleaner و Kylhavy Mobile Security که در مجموع 60000 بار نصب شده‌اند، در واقع بدافزار هایی هستند که هدف آنها دزدی از حساب بانکی است. این اپلیکیشن‌های اندرویدی از طریق نصب نسخه‌ی کامل‌تر بدافزار بدنام SharkBot، اطلاعات ورود به حساب بانکی شما را به سرقت می‌برند و بی‌دردسر از شما دزدی می‌کنند.

این برنامه‌ها ابتدا در فروشگاه گوگل‌پلی منتشر شدند زیرا حاوی کد مخربی بودند که باعث می‌شد گوگل آنها را رد کند. درواقع، Mister Phone Cleaner و Kylhavy Mobile Security برنامه‌های کمکی هستند که برای انتقال بدافزار به گوشی‌های هوشمند اندرویدی ایجاد شده‌اند.

پس از نصب این برنامه‌ها، از کاربران خواسته می‌شد تا برای محافظت در برابر تهدیدات، بسته‌ی به‌روزرسانی را نصب کند و این فرایند روشی برای نصب SharkBot روی گوشی قربانی بود.

اگرچه این برنامه‌ها دیگر در گوگل‌پلی در دسترس نیستند، کاربرانی که قبلاً آنها را دانلود کرده‌اند باید آنها را از تلفن خود حذف کنند. زیرا همچنان احتمال به‌خطرافتادن اطلاعات شخصی و حساب‌های حساس ازجمله حساب‌های بانکی آن‌ها وجود دارد.

بدافزار SharkBot

SharkBot برای اولین بار در اواخر سال 2021 کشف شد و اولین برنامه‌های همراه با آن در ماه مارس سال جاری در فروشگاه اپلیکیشن گوگل شناسایی شد. شیوه‌ی کار در آن زمان، سرقت اطلاعات ازطریق کی‌لاگر (Keylogger)، رهگیری پیام‌های متنی، فریب کاربران با استفاده از حملات هم‌پوشانی صفحه برای افشای اطلاعات حساس، یا دادن کنترل از راه‌دور دستگاه آلوده به مجرمان سایبری با سوءاستفاده از سرویس‌های دسترسی بود.

نسخه ارتقایافته‌ای به نام SharkBot 2 در ماه می مشاهده شد و در 22 آگوست، Fox-IT به طور تصادفی با نسخه 2.25 مواجه شد. این نسخه قادر بود از طریق کوکی‌ها و ورود کاربر به حساب‌های بانکی، سرقت کند. برنامه‌های تازه کشف‌شده با SharkBot 2.25 از خدمات دسترس‌پذیری سوءاستفاده نمی‌کنند و همچنین نیازی به ویژگی پاسخ مستقیم ندارند. زیرا این موارد می‌تواند تأیید آن‌‌ها را برای انتشار رسمی در گوگل پلی سخت‌تر کند.

آنها در عوض از سرورهای فرمان و کنترل می خواهند که مستقیماً فایل APK Sharkbot را دریافت کنند. پس از آن، برنامه‌های dropper کاربر را درمورد به‌روزرسانی جدید، مطلع می‌سازند و از او می‌خواهند که APK را نصب کند و مجوزهای لازم را بدهد. برای جلوگیری از تشخیص خودکار، SharkBot پیکربندی خود را که به روش هارد کد (Hard Coded) برنامه‌نویسی شده‌است، به‌صورت رمزنگاری‌شده ذخیره می‌کند.

زمانی که کاربر وارد حساب بانکی خود می‌شود، SharkBot با استفاده از لاگر اختصاصی‌اش، کوکی‌های جلسه معتبر را حذف می‌کند. سپس آن را به سرور فرمان و کنترل ارسال می‌کند. کوکی‌ها برای عوامل تهدید ارزشمند هستند، زیرا به آنها کمک می‌کنند تا بررسی اثر انگشت را بزنند. در برخی موارد حتی باعث می‌شوند که به توکن‌های احراز هویت کاربر نیازی نباشد.

بدافزار SharkBot قادر به سرقت داده‌هایی مانند رمز عبور و موجودی حساب از برنامه‌های بانکی رسمی است. البته در برخی از برنامه‌ها، اثر انگشت می‌تواند از ورود مهاجمان جلوگیری کنند.

هدف SharkBot

به نظر می رسد SharkBot کاربران استرالیا، اتریش، آلمان، ایتالیا، لهستان، اسپانیا، بریتانیا و ایالات متحده را هدف قرار داده‌است. توسعه‌دهندگان همچنان سعی می‌کنند که این بدافزار را بهبود بخشند و Fox-IT انتظار دارد در آینده کمپین‌های بیشتری راه‌اندازی کند.

برای جلوگیری از گرفتارشدن در دام چنین بدافزارهایی، به هیچ وجه برنامه‌ها را از ناشران ناشناس دانلود نکنید، به‌ویژه آن‌هایی که به نظر محبوب نیستند و همچنین نظرات را مرور کنید.

• بدافزار آیفون با خاموش بودن دستگاه نیز اجرا می‌شود!
• بدافزار اندرویدی شما را در سرویس‌های پرمیوم عضو می‌کند!