فارسی کلاب
پورتال خبری و مجله اینترنتی آنلاین

هشدار محققان امنیت سایبری Trend Micro در مورد بدافزار جدید اندرویدی

بد افزار اندرویدبه گفته محققان امنیت سایبری شرکت Trend Micro: بدافزاری برای سیستم‌عامل اندروید کشف شده است که گوشی بسیاری از کاربران در کشورهای مختلف دنیا را آلوده کرده است.

برخی از این بدافزارها حتی بیشتر از ۱۰۰هزاربار از Google Play توسط کاربران دانلود و نصب شده‌اند. این بدافزارها که خود را در پوشش ابزارهای کاربردی و بازی‌ مخفی کرده‌اند، کاربران بیشتر از ۱۹۶ کشور دنیا را هدف قرار داده و گوشی‌های اندرویدی آن‌ها را آلوده کرده‌اند؛ کشورهای هند، روسیه و پاکستان، به‌ترتیب بیشترین تعداد قربانیان را به خود اختصاص داده‌اند.

 

محققان ۶ برنامه را در گوگل‌پلی پیدا کرده‌اند که به‌صورت مخفیانه بدافزار را در خود قرار داده است. فهرست این برنامه‌ها را در ادامه مشاهده می‌کنید:

  • HZPermis Pro Arabe
  • Flappy Bird
  • Win7Launcher
  • Win7imulator
  • FlashLight
  • Flappy Birr Dog

این بدافزار که با نام Mobstspy شناخته می‌شود، دارای قابلیت حملات فیشینگ برای سرقت اطلاعات حساس حساب‌های کاربری است که برای سایت‌های مهمی همچون فیسبوک و گوگل طراحی شده ؛ این کار با نمایش صفحه‌های جعلی Login انجام می‌شود.

پس از نمایش صفحه‌ی Login جعلی و بعد از ورود اطلاعات نام کاربری و رمز عبور توسط قربانی، بدافزار این اطلاعات را در خود ذخیره کرده و مجدد همان صفحه‌ی لاگین را با پیغام ورود اشتباه اطلاعات به کاربر نمایش می‌دهد. اگر کاربران، حساب‌های فیسبوک و گوگل خود را با روش احراز هویت دو مرحله‌ای امن‌سازی نکرده باشند، به احتمال زیاد حساب‌های کاربری آن‌ها توسط هکرهای توسعه‌دهنده‌ی این بدافزار مورد دستبرد قرار خواهد گرفت.

این بدافزار آدرس فولدر برنامه‌های معروفی مانند اسنپ‌چت، مسنجر، واتساپ و وایبر را در خود دارد که به‌وسیله‌ی آن، جست‌وجوی خود برای سرقت داده‌های کاربران را به صورت مخفیانه افزایش می‌دهد.

آدرس سرورهای C2 که همان سرورهای کنترل‌کننده این بدافزار است، به‌صورت فهرست زیر است؛ همچنین این بدافزار برای انتقال داده‌های خود، از سرورهای ابری یک شرکت تابعه گوگل با نام Firebase Cloud Messaging استفاده می‌کند که این شرکت خدمات رایگان Cloud Solution برای نرم‌افزارهای اندرویدی، iOS و وب ارائه می‌دهد.

  • mobistartapp[.]com
  • coderoute[.]ma
  • hizaxytv[.]com
  • seepano[.]com

این بدافزار پس از اجرا و وصل شدن گوشی قربانی به اینترنت، در ابتدا دستورهای تنظیمات خود را به‌وسیله‌ی یک فایل XML Configure از سرور C2 دریافت می‌کند و سپس اطلاعات کاملی را از گوشی قربانی برای سرور ارسال می‌کند که این اطلاعات، برای دسترسی دائمی به گوشی قربانی یا استفاده از آن گوشی برای انجام حملات دیگر مورد استفاد قرار خواهد گرفت.

 

 

آدرس کوتاه مطلب

نظر بدهید

آدرس ایمیل شما منتشر نخواهد شد.