ديجياتو/ اخيرا کارشناسان امنيت سايبري موفق به کشف يک بدافزار اندرويدي به نام «Ghimob» شده‌اند که امکان جاسوسي از کاربران و سرقت اطلاعات را فراهم مي‌کند.

طبق جديدترين گزارش کسپرسکي، به نظر مي‌رسد اين بدافزار اندرويدي توسط گروهي که بدافزار «Astaroth» يا «Guildma» را توسعه داده، به توليد رسيده است. به گفته اين شرکت امنيت سايبري، اين تروجان جديد اندرويدي به وسيله اپ‌هاي مخرب روي دستگاه‌ها نصب مي‌شود و درون سايت‌ها و سرورهايي قرار گرفته که در گذشته براي عمليات Astaroth مورد استفاده بوده است.

توزيع اين برنامه‌ها توسط فروشگاه رسمي پلي استور صورت نگرفته و بجاي اين کار، گروه Ghimob از ايميل‌ها يا سايت‌هاي مخرب براي هدايت کاربران به سايت‌هايي که اين اپ‌هاي اندرويدي را تبليغ مي‌کردند، هدايت کرده است.

اين اپ‌ها از برنامه‌هاي رسمي و برندها تقليد مي‌کنند که در ميان آن‌ها نام‌هايي مانند گوگل ديفندر، گوگل داکس يا بروزرساني فلش به چشم مي‌خورد. اگر کاربري بدون توجه به تمام هشدارهاي دستگاه خود تصميم به نصب اين برنامه‌ها بگيرد، اين اپ‌ها به عنوان آخرين مرحله آلودگي دستگاه، درخواست دسترسي به سرويس «دسترسي‌پذيري» را ارائه مي‌کنند.

اگر چنين اجازه‌اي به آن‌ها داده شود، اين اپ‌ها گوشي کاربر را براي يک ليست حاوي ۱۵۳ برنامه مورد جستجو قرار مي‌دهند. اين بدافزار در اين اپليکيشن‌ها صفحه ورود جعلي را به نمايش مي‌گذارد تا مدارک کاربران را سرقت کند.

اکثر برنامه‌هاي هدف مربوط به بانک‌هاي برزيلي مي‌شوند، اما در نسخه‌هاي بروز شده شاهد افزايش توانايي‌هاي آن و هدف قرار دادن بانک‌ها در آلمان، پرتغال، پرو، پاراگوئه، آنگولا و موزامبيک هستيم. بدافزار Ghimbo در بروزرساني جديد خود اپ‌هاي صرافي‌هاي ارز ديجيتال را نيز هدف قرار مي‌دهد تا بتواند به حساب‌هاي کاربران دسترسي پيدا کند.

پس از يک حمله موفق، اطلاعات و اعتبارنامه‌هاي کاربران براي گروه Ghimob ارسال مي‌شود تا اعضاي آن بتوانند به صورت کامل روي دستگاه کنترل داشته باشند و نسبت به هرگونه مشکل امنيتي واکنش نشان دهند. ويژگي‌هاي اين بدافزار منحصر به فرد نيستند و برخي از آن‌‌ها را در گذشته در تروجان‌هاي «BlackRock» و «Alien» مشاهده کرده‌ايم.

در کانال آي‌تي و ™CanaleIT هم کلي عکس و ويدئوي دسته اول و جذاب داريم