کشف بدافزاری که اطلاعات صدها اپ اندرویدی را سرقت میکند
ديجياتو/ اخيرا کارشناسان امنيت سايبري موفق به کشف يک بدافزار اندرويدي به نام «Ghimob» شدهاند که امکان جاسوسي از کاربران و سرقت اطلاعات را فراهم ميکند.
طبق جديدترين گزارش کسپرسکي، به نظر ميرسد اين بدافزار اندرويدي توسط گروهي که بدافزار «Astaroth» يا «Guildma» را توسعه داده، به توليد رسيده است. به گفته اين شرکت امنيت سايبري، اين تروجان جديد اندرويدي به وسيله اپهاي مخرب روي دستگاهها نصب ميشود و درون سايتها و سرورهايي قرار گرفته که در گذشته براي عمليات Astaroth مورد استفاده بوده است.
توزيع اين برنامهها توسط فروشگاه رسمي پلي استور صورت نگرفته و بجاي اين کار، گروه Ghimob از ايميلها يا سايتهاي مخرب براي هدايت کاربران به سايتهايي که اين اپهاي اندرويدي را تبليغ ميکردند، هدايت کرده است.
اين اپها از برنامههاي رسمي و برندها تقليد ميکنند که در ميان آنها نامهايي مانند گوگل ديفندر، گوگل داکس يا بروزرساني فلش به چشم ميخورد. اگر کاربري بدون توجه به تمام هشدارهاي دستگاه خود تصميم به نصب اين برنامهها بگيرد، اين اپها به عنوان آخرين مرحله آلودگي دستگاه، درخواست دسترسي به سرويس «دسترسيپذيري» را ارائه ميکنند.
اگر چنين اجازهاي به آنها داده شود، اين اپها گوشي کاربر را براي يک ليست حاوي ۱۵۳ برنامه مورد جستجو قرار ميدهند. اين بدافزار در اين اپليکيشنها صفحه ورود جعلي را به نمايش ميگذارد تا مدارک کاربران را سرقت کند.
اکثر برنامههاي هدف مربوط به بانکهاي برزيلي ميشوند، اما در نسخههاي بروز شده شاهد افزايش تواناييهاي آن و هدف قرار دادن بانکها در آلمان، پرتغال، پرو، پاراگوئه، آنگولا و موزامبيک هستيم. بدافزار Ghimbo در بروزرساني جديد خود اپهاي صرافيهاي ارز ديجيتال را نيز هدف قرار ميدهد تا بتواند به حسابهاي کاربران دسترسي پيدا کند.
پس از يک حمله موفق، اطلاعات و اعتبارنامههاي کاربران براي گروه Ghimob ارسال ميشود تا اعضاي آن بتوانند به صورت کامل روي دستگاه کنترل داشته باشند و نسبت به هرگونه مشکل امنيتي واکنش نشان دهند. ويژگيهاي اين بدافزار منحصر به فرد نيستند و برخي از آنها را در گذشته در تروجانهاي «BlackRock» و «Alien» مشاهده کردهايم.