هشدار محققان امنیت سایبری Trend Micro در مورد بدافزار جدید اندرویدی
به گفته محققان امنیت سایبری شرکت Trend Micro: بدافزاری برای سیستمعامل اندروید کشف شده است که گوشی بسیاری از کاربران در کشورهای مختلف دنیا را آلوده کرده است.
برخی از این بدافزارها حتی بیشتر از ۱۰۰هزاربار از Google Play توسط کاربران دانلود و نصب شدهاند. این بدافزارها که خود را در پوشش ابزارهای کاربردی و بازی مخفی کردهاند، کاربران بیشتر از ۱۹۶ کشور دنیا را هدف قرار داده و گوشیهای اندرویدی آنها را آلوده کردهاند؛ کشورهای هند، روسیه و پاکستان، بهترتیب بیشترین تعداد قربانیان را به خود اختصاص دادهاند.
محققان ۶ برنامه را در گوگلپلی پیدا کردهاند که بهصورت مخفیانه بدافزار را در خود قرار داده است. فهرست این برنامهها را در ادامه مشاهده میکنید:
- HZPermis Pro Arabe
- Flappy Bird
- Win7Launcher
- Win7imulator
- FlashLight
- Flappy Birr Dog
این بدافزار که با نام Mobstspy شناخته میشود، دارای قابلیت حملات فیشینگ برای سرقت اطلاعات حساس حسابهای کاربری است که برای سایتهای مهمی همچون فیسبوک و گوگل طراحی شده ؛ این کار با نمایش صفحههای جعلی Login انجام میشود.
پس از نمایش صفحهی Login جعلی و بعد از ورود اطلاعات نام کاربری و رمز عبور توسط قربانی، بدافزار این اطلاعات را در خود ذخیره کرده و مجدد همان صفحهی لاگین را با پیغام ورود اشتباه اطلاعات به کاربر نمایش میدهد. اگر کاربران، حسابهای فیسبوک و گوگل خود را با روش احراز هویت دو مرحلهای امنسازی نکرده باشند، به احتمال زیاد حسابهای کاربری آنها توسط هکرهای توسعهدهندهی این بدافزار مورد دستبرد قرار خواهد گرفت.
این بدافزار آدرس فولدر برنامههای معروفی مانند اسنپچت، مسنجر، واتساپ و وایبر را در خود دارد که بهوسیلهی آن، جستوجوی خود برای سرقت دادههای کاربران را به صورت مخفیانه افزایش میدهد.
آدرس سرورهای C2 که همان سرورهای کنترلکننده این بدافزار است، بهصورت فهرست زیر است؛ همچنین این بدافزار برای انتقال دادههای خود، از سرورهای ابری یک شرکت تابعه گوگل با نام Firebase Cloud Messaging استفاده میکند که این شرکت خدمات رایگان Cloud Solution برای نرمافزارهای اندرویدی، iOS و وب ارائه میدهد.
- mobistartapp[.]com
- coderoute[.]ma
- hizaxytv[.]com
- seepano[.]com
این بدافزار پس از اجرا و وصل شدن گوشی قربانی به اینترنت، در ابتدا دستورهای تنظیمات خود را بهوسیلهی یک فایل XML Configure از سرور C2 دریافت میکند و سپس اطلاعات کاملی را از گوشی قربانی برای سرور ارسال میکند که این اطلاعات، برای دسترسی دائمی به گوشی قربانی یا استفاده از آن گوشی برای انجام حملات دیگر مورد استفاد قرار خواهد گرفت.