در چند روز گذشته یک بدافزار تحت سیستم عامل اندروید، که برای سرقت اطلاعات  بانکی و مالی کاربران طراحی شده بود، بار دیگر مشاهده شده، که به صورت مخفیانه از فروشگاه Google Play عبور کرده و کاربران بیش از ۴۰۰ اپلیکیشن بانکی و مالی، از جمله اپلیکیشن های روسی، چینی و آمریکایی را مورد هدف قرار داده است.

محققان شرکت “کلیفای” در گزارشی گفته اند که قابلیت‌های بدافزار “تی بوت” به نحوی پیشرفته تر از گذشته است و این بدافزار به عوامل گرداننده آن این امکان را می‌دهد تا مستقیماً از تلفن آسیب‌دیده، عمل ATO یا همان به دست آوردن اطلاعات حساب بانکی را انجام دهند که این موضوع به عنوان کلاهبرداری و تعرض به حریم خصوصی کاربر به حساب می آید.

“تی بوت” که با نام‌های “آناتسا” و “تودلر” نیز شناخته می‌شود، اولین بار در ماه می سال ۲۰۲۱ شناخته شد که عملکردهای مخرب خود را،  با پنهان سازی در پشت اپلیکیشن های به ظاهر بی‌ضرر مانند اپلیکیشن  ایجاد فایل PDF و یا اسکنر کد QR که از طریق فروشگاه رسمی Google Play،  توزیع می کرد.

تحقیقات بیشتر منتشر شده توسط شرکت امنیت سایبری سوئیسی “پروداف” در ماه ژوئیه سال ۲۰۲۱ نشان داد که این بدافزار بانکی قبلاً بیش از ۷۶۳۲ دستگاه را آلوده کرده و اطلاعات حساب بانکی بیش از  ۱۰۲۳ کاربر را از ۱۸ موسسه مالی به سرقت برده است.

این اپلیکیشن ها که تحت عنوان اپلیکیشن های قطره چکانی نیز شناخته می شوند، به گونه ای عمل می کنند که میزان فشار بدافزار را برای کنترل دستگاه های آلوده می توانند کنترل و بازیابی کنند. در ماه نوامبر سال ۲۰۲۱، شرکت امنیتی هلندی “تریت فابریک” فاش کرد که از ماه ژوئن سال گذشته، شش اپلیکیشن قطره چکان “آناتسا” را در فروشگاه رسمی Google Play شناسایی کرده است.

سپس در اوایل ماه ژانویه امسال، محققان ” بیت دیفندر تی بوت” را که در بازار رسمی اپلیکیشن های اندرویدی در کمین بود، به عنوان اپلیکیشن اسکنر کد QR شناسایی کردند که در مدت یک ماه قبل از شناسایی و حذف آن ، بیش از صد هزار بار دانلود شده بود.

آخرین نسخه بدافزار “تی بوت” که توسط شرکت “کلیفای” مشاهده شده بود نیز، یک اپلیکیشن اسکنر کد QR شناسایی شد که تقریباً ده هزار بار از فروشگاه رسمی Google Play دانلود شده بود.

 این اپلیکیشن ها جهت استخراج اطلاعات کاربران، روش عملیاتی یکسان دارند، به این صورت که، کاربران را وادار می کند که یک به روز رسانی جعلی الحاقی را بپذیرند، که به نوبه خود منجر به نصب اپلیکیشنی می شود که در واقع حاوی بدافزار “تی بوت” است. با این حال، قابل ذکر است که برای نصب اپلیکیشن دوم یا همان به روز رسانی، کاربران باید اجازه نصب از منابع ناشناس را به سیستم عامل اندروید خود بدهند.

اما آخرین مرحله، آلوده کردن دستگاه کاربر توسط تروجان بانکی است، که به دنبال آن مجوزهای خدمات دسترسی برای گرفتن اطلاعات حساس مانند گذرواژه ها و کدهای احراز هویت دو مرحله ای با هدف در اختیار گرفتن حساب های بانکی کاربران برای انجام کلاهبرداری صادر می شود.

محققان می‌گویند در کمتر از یک سال گذشته ، تعداد اپلیکیشن های مورد هدف “تی بوت” بیش از پانصد درصد افزایش یافته است، و از شصت هدف به بیش از چهارصد مورد رسیده است.

قابل ذکر است که این بدافزار اکنون چندین اپلیکیشن مرتبط با بانکداری شخصی، بیمه، کیف پول های رمزنگاری و مبادلات رمزنگاری را مورد هدف قرار داده است.

نظرات

نظر (به‌وسیله فیس‌بوک)