بدافزار جدید ‘Ghimob‘ میتواند از ۱۵۳ برنامه موبایل اندروید جاسوسی کند. این Trojan جدید اندروید برای گسترش در سطح بین المللی از برزیل افزایش یافته و تکامل مییابد.
محققان امنیتی Trojan banking جدید اندرویدی را کشف کردهاند که میتواند دادههای ۱۵۳ برنامه اندرویدی را جاسوسی و سرقت کند.
بر اساس گزارشی که روز دوشنبه توسط شرکت امنیتی کسپرسکی منتشر شد، احتمال بر این است که تروجان توسط گروه بدافزار ویندوز Astaroth (Guildma) ساخته شده است.
کسپرسکی میگوید تروجان جدید Android برای بارگیری در داخل برنامههای مخرب اندروید بسته بندی شده و در سایتها و سرورهایی که قبلاً توسط Astaroth (Guildama) استفاده میشده، ارائه شده است.
هیچ توزیعی از طریق فروشگاه رسمی Play انجام نشده است. در عوض، گروه Ghimob از ایمیلها یا سایتهای مخرب برای هدایت کاربران به وب سایتهایی که برنامههای Android را منتشر میکنند، استفاده کرد.
این برنامهها از برنامهها و برندهای رسمی تقلید میکنند، نامهایی مانند Google Defender ،Google Docs ، WhatsApp Updater یا Flash Update. اگر کاربران علی رغم همه هشدارهای نشان داده شده در دستگاههای خود، نسبت به نصب برنامهها بیدقت بودند، برنامههای مخرب به عنوان آخرین مرحله در روند آلودگی، درخواست دسترسی به سرویس Accessibility را دارند. اگر این اجازه داده شود، برنامهها در تلفن آلوده به دنبال لیستی از ۱۵۳ برنامه هستند که با صفحات ورود جعلی به آنها تلاش میکند تا اعتبار کاربر را به سرقت برند.
بیشتر برنامههای هدفمند برای بانکهای برزیل بود، اما در نسخههای به روز شده اخیر، کسپرسکی گفت که Ghimob همچنین تواناییهای خود را برای شروع هدف قرار دادن بانکها در آلمان (پنج برنامه)، پرتغال (سه برنامه)، پرو (دو برنامه)، پاراگوئه (دو برنامه)، آنگولا و موزامبیک (یک برنامه در هر کشور) گسترش داده است.
علاوه بر این، Ghimob همچنین در تلاش برای دستیابی به حسابهای رمز ارز، به روزرسانی برای هدف قرار دادن برنامههای مبادله ارز رمزنگاری شده اضافه کرده است، Ghimob یک روند کلی را در صحنه بدافزارهای اندروید دنبال میکند که به آرامی به سمت صاحبان ارزهای رمزپایه تغییر یافته است.
پس از موفقیت هرگونه اقدام فیشینگ، تمام مدارک جمع آوری شده به باند Ghimob ارسال میشود، که سپس به حساب قربانی دسترسی پیدا میکند و معاملات غیرقانونی را آغاز میکند.
در صورت محافظت از حسابها با اقدامات امنیتی سختگیرانه، باند Ghimob از کنترل کامل خود بر روی دستگاه (از طریق سرویس Accessibility) برای پاسخگویی به هرگونه کاوشگر امنیتی و اعلانهایی که در تلفن هوشمند مورد حمله نشان داده شده استفاده کرده است.
ویژگیهای Ghimob منحصر به فرد نیستند، اما در واقع آرایش سایر تروجانهای بانکی اندروید مانند BlackRock یا Alien را کپی میکنند.
کسپرسکی خاطرنشان کرد که توسعه Ghimob در حال حاضر روند جهانی بازار بدافزارهای برزیل را تکرار میکند، باندهای بدافزار محلی بسیار فعال به آرامی در قربانیان کشورهای خارج گسترش مییابند.
دیدگاهتان را بنویسید