اجاره‌ی بدافزار بانکی اندرویدی جدید Cerberus

پس از آن‌که چند تروجان اندرویدی محبوب مانند Anubis، Red Alert 2.0،‌ GM bot و Exobot کسب‌وکارهای بدافزار به‌عنوان سرویس خود را رها کردند، یک بازیگر جدید در اینترنت با قابلیت‌های مشابه  آن‌ها ظهور پیدا کرده است که خدمات اجاره‌ی ربات اندرویدی را برای گروه‌ها ارائه می‌دهد.

تروجان دسترسی از راه دور جدید با نام Cerberus به مهاجمان راه دور اجازه می‌دهد تا کنترل کامل دستگاه‌های اندرویدی آسیب‌دیده را به دست گیرند و دارای قابلیت‌های تروجان بانکی مانند استفاده از حملات overlay، کنترل پیام متنی کوتاه و برداشتن فهرست تماس‌ها است.

به‌گفته‌ی نویسنده‌ی این بدافزار، Cerberus از ابتدا کدنویسی شده است و از کد هیچ یک از تروجان‌های بانکی موجود استفاده نکرده است. این نویسنده همچنین ادعا کرده است که حداقل از دو سال قبل از اجاره‌ی آن به افراد علاقه‌مند با قیمت ۲ هزار دلار برای ۱ ماه، ۷ هزار دلار برای  ۶ ماه و ۱۲ هزار دلار برای ۱۲ ماه، از این تروجان برای عملیات خصوصی استفاده می‌کرد. (ویدئو)

به گفته‌ی پژوهش‌گران امنیتی ThreatFabric که نمونه‌ای از تروجان Cerberus را تجزیه و تحلیل کردند، این بدافزار یک فهرست مشترک از ویژگی‌ها را دارد که ازجمله‌ی آن‌ها می‌توان به موارد زیر اشاره کرد:

  • تهیه‌ی اسکرین‌شات
  • ضبط صدا
  • ثبت فشرده شدن کلیدها
  • ارسال، دریافت و حذف SMSes
  • سرقت فهرست‌های تماس
  • ارسال تماس‌ها
  • جمع‌آوری اطلاعات دستگاه
  • ردیابی مکان دستگاه
  • سرقت گواهی‌نامه‌های حساب
  • غیرفعال کردن Play Protect
  • بارگیری برنامه‌ها و بارداده‌های اضافی
  • حذف برنامه‌ها از دستگاه آلوده
  • ارسال هشدارها
  • قفل صفحه‌ی دستگاه

بدافزار Cerberus پس از آلوده‌سازی، ابتدا آیکن خود را از کشوی برنامه مخفی می‌کند و سپس با جا زدن خود به‌عنوان سرویس فلش پلیر مجوز دسترسی می‌خواهد. این بدافزار درصورت دریافت مجوز به‌طور خودکار دستگاه آسیب‌دیده را در سرور دستور و کنترل خود ثبت می‌کند و به خریدار یا مهاجم اجازه می‌دهد تا به‌صورت از راه دور کنترل دستگاه را به دست گیرند.

بدافزار Cerberus برای سرقت شماره کارت اعتباری کاربران، گواهی‌نامه‌های بانکی و گذرواژه‌های سایر حساب‌های آنلاین به مهاجمان اجازه می‌دهد تا حملات screen overlay را از داشبورد راه دور خود راه‌اندازی کنند. در حمله‌ی screen overlay، این تروجان یک پوشش روی برنامه‌های بانکی تلفن همراه قانونی نمایش می‌دهد و مانند حملات فیشینگ کاربران اندرویدی را فریب می‌دهد تا گواهی‌نامه‌های بانکی خود را در صفحه‌ی ورود جعلی وارد کنند.

به‌گفته‌ی پژوهش‌گران، Cerberus شامل الگوهای حمله‌ی Overlay برای ۳۰ هدف منحصربه‌فرد از جمله ۷ برنامه‌ی بانکی فرانسوی، ۷ برنامه‌ی بانکی امریکایی، ۱ برنامه‌ی بانکی ژاپنی و ۱۵ برنامه‌ی غیربانکی است. Cerberus از برخی روش‌های جالب برای دور زدن برنامه‌های ضد بدافزار استفاده می‌کند و از تجزیه و تحلیل آن مانند استفاده از حسگر شتاب‌سنج دستگاه برای اندازه‌گیری حرکات قربانی جلوگیری می‌کند.

این ایده بسیار ساده است، با حرکت کاربر معمولاً دستگاه اندرویدی آن داده‌های حسگر حرکتی ایجاد می‌کند. این بدافزار گام‌های کاربر را از طریق حسگر حرکتی دستگاه کنترل می‌کند تا بررسی کند که آیا درحال اجرا در یک دستگاه اندرویدی واقعی است یا خیر. درصورتی‌که دستگاه کاربر داده‌های حس‌گر را از دست بدهد، این بدافزار فرض می‌کند که جعبه‌ی شنی مربوط به پویش بدافزار یک شبیه‌ساز بدون حس‌گرهای حرکتی است و کد مخرب اجرا نخواهد کرد.

بااین‌حال، این روش منحصربه‌فرد نیست و قبلاً توسط تروجان بانکی اندرویدی محبوب Anubis پیاده‌سازی شده است. لازم به ذکر است که بدافزار Cerberus از هیچ آسیب‌پذیری برای نصب خودکار در یک دستگاه هدف بهره‌برداری نکرده است. در عوض نصب این بدافزار به روش‌های مهندسی اجتماعی وابسته است. بنابراین، برای جلوگیری از قربانی شدن در این حملات بدافزاری، به کاربران توصیه می‌شود تا مراقب فایل‌هایی که در گوشی خود دانلود می‌کنند، باشند.  

منبع

 

پست‌های مشابه

Leave a Comment