هشدار مرکز ماهر درباره ظهور بدافزار جدید بانکداری موبایل

محققان اخیرا یک تروجان بانکداری جدید کشف کردند که نسخه‌های ۷ و ۸ اندروید را هدف قرار می‌دهد و از کارگزار فرمان و کنترل (C & C) مشابه با تروجان‌های LokiBot و Threat Fabric استفاده می‌کند. این بدافزار، خود را به‌عنوان یک برنامه‌ فلش پلیر (Adobe Flash Player) تحمیل می‌کند و از قربانی می‌خواهد «مجوز دسترسی استفاده» که قابلیت‌های نامطلوبی را فراهم می‌کند، به آن اعطا کند. پس از آن تلاش می‌کند تا نام بسته‌های برنامه‌ها را در پیش‌زمینه نظارت کند. این تروجان جدید که MysteryBot نامیده می‌شود، با استفاده از هم‌پوشانی، بیش از ۱۰۰ برنامه از جمله بانکداری تلفن همراه و برنامه‌های اجتماعی را هدف قرار می‌دهد.

مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌ای در این باره اعلام کرد: این بدافزار جدید علاوه‌ بر ویژگی‌های عمومی تروجان‌های اندرویدی، دارای قابلیت‌های تماس با شماره‌ تلفن داده‌شده، دریافت لیست اطلاعات تماس، تماس‌های انتقال‌یافته، کپی تمام پیامک‌ها، واردکردن ضربات کلید، رمزگذاری فایل‌ها در ذخیره‌سازی خارجی، حذف همه‌ مخاطبان، ارسال پیامک به تمام مخاطبان، تغییر برنامه‌ پیش‌فرض پیامک، تماس با یک شماره ‌USSD، حذف تمام پیامک‌ها و ارسال پیامک است.

طبق نظریه‌ محققان، این تروجان جدید یک به‌روزرسانی از تروجان LokiBot یا یک خانواده‌ جدید بدافزار از همان فعالان تهدید است. این تهدید جدید سایبری، چند تفاوت نسبت به LokiBot دارد. این تفاوت‌ها شامل نام، دستورات بهبودیافته و ارتباطات شبکه‌ اصلاح‌شده است. علاوه‌بر این قابلیت‌ها، این تروجان از یک تکنولوژی جدید به‌منظور اطمینان از موفقیت در دستگاه‌های اندروید ۷ و ۸ استفاده می‌کند؛ تکنیک جدیدی که MysteryBot از آن استفاده می‌کند، مجوز «Android PACKAGE_USAGE_STATS» (مجوز استفاده‌ مجدد) را برای ازبین‌ بردن محدودیت‌ها دستکاری می‌کند و همچنین از «Accessibility Service» برای دریافت مجوزها سوءاستفاده می‌کند.

MysteryBot از روش جدیدی برای واردکردن ضربات کلید استفاده می‌کند. این بدافزار، محل کلیدهای روی صفحه را محاسبه می‌کند (درنظر می‌گیرد که هر کلید، دارای یک موقعیت مکانی روی صفحه است) و مختصات دیگری را روی هر یک از آنها قرار می‌دهد (عرض و ارتفاع صفر پیکسل) که به او اجازه می‌دهد کلید فشار داده‌شده را ثبت کند. به‌نظر می‌رسد کد این بدافزار همچنان در حال توسعه است، زیرا هنوز قابلیت ارسال ضربات کلید واردشده به کارگزار C & C را ندارد. MysteryBot شامل قابلیت‌های قفل‌کننده باج‌افزاری است که با داشبورد جداگانه‌ای از این تروجان مدیریت می‌شوند.

این تروجان می‌تواند هر فایل را به‌طور جداگانه در پوشه‌ ذخیره‌سازی خارجی رمزگذاری کند، سپس فایل‌های اصلی را حذف کند. این بدافزار هر فایل را در بایگانی ZIP محافظت‌شده با گذرواژه قرار می‌دهد، اما از گذرواژه‌ مشابه برای همه‌ بایگانی‌ها استفاده می‌کند (این کلید در طول زمان اجرا تولید می‌شود). هنگام تکمیل رمزگذاری، این بدافزار، یک گفت‌وگو را نمایش می‌دهد که ادعا می‌کند قربانی، موارد خطرناکی را مشاهده کرده و از او می‌خواهد از طریق پست الکترونیکی، با مهاجم تماس بگیرد.