محققان موفق به شناسایی برنامههای اندرویدی به ظاهر بی خطر در گوگل پلی شدند که بر روی دستگاه قربانیان بدافزار بانکی نصب میکردند.
در این کمپین مجموعا ۱۷ اپلیکیشن شناسایی شده که اغلب آنها به شکل اپلیکیشنهای کاربردی مثل بارکدخوان، سرویس ویپیان، ضبط تماس، در گوگل پلی، قرار داده شده بودند.
این اپلیکیشنها از یک دیتابیس بلادرنگ فایربیس و یک سرویس ابری سوم شخص استفاده میکند که باعث میشود از دید ابزارهای امنیتی مخفی بمانند. علاوه بر این، اپلیکیشنهای فوق به یک صفحه مخرب در گیتلب نیز متصل هستند.
این اپلیکیشنها طوری طراحی شدهاند که به راحتی از بررسیهای امنیتی گوگل عبور میکنند و در ادامه با اتصال به سرورهای کنترل و فرماندهی تحت کنترل هکر، بدافزارهای Octo یا Coper، Hydra، Ermac و Teabot را دریافت و روی دستگاه قربانی نصب میکنند.
در این حمله زنجیرهای، اپلیکیشن پس از نصب روی دستگاه، با سرور فایربیس ارتباط برقرار کرده و آدرس گیتلب که فایل APK مخرب در آن قرار داده شده را دریافت میکند.
لیست اپلیکیشنهای شناسایی شده به شرح زیر است:
در بین اپلیکیشنهای فوق، Unicc QR scanner ماه قبل توسط تیم Zscaler شناسایی شده بود. این اپلیکیشن در حین نصب تروجان بانکی Coper شناسایی شده که نسخه دستکاری شده بدافزار Exobot است.
Octo نیز قابلیت غیر فعال سازی سیستم امنیتی گوگل پلی را دارا است و با استفاده از VCN (شبکه مجازی محاسباتی) صفحه نمایش کاربر را ضبط و اطلاعات حساسی از جمله اطلاعات کارتهای بانکی، آدرس ایمیل و رمزهای، پین صفحه و … را استخراج و به سرور هکر ارسال میکند.
در سالهای اخیر تروجانهای نصب کننده بدافزارهای بانکی پیشرفت زیادی داشتند و امروزه به جای دانلود از آدرس کد نویسی شده، از رابط های مخفی برای دستیابی به هاست بدافزار استفاده میکنند.
هنوز نظری ثبت نشده است. شما اولین نظر را بنویسید.