شناسایی بدافزارجدیددربرنامه‌های اندروید
شناسایی بدافزارجدیددربرنامه‌های اندروید
بدافزار جدید 'Ghimob' می‌تواند از 153 برنامه موبایل اندروید جاسوسی کند. این Trojan جدید اندروید برای گسترش در سطح بین المللی از برزیل افزایش یافته و تکامل می‌یابد.

بدافزار جدید ‘Ghimob‘ می‌تواند از ۱۵۳ برنامه موبایل اندروید جاسوسی کند. این Trojan جدید اندروید برای گسترش در سطح بین المللی از برزیل افزایش یافته و تکامل می‌یابد.

محققان امنیتی Trojan banking جدید اندرویدی را کشف کرده‌اند که می‌تواند داده‌های ۱۵۳ برنامه اندرویدی را جاسوسی و سرقت کند.

بر اساس گزارشی که روز دوشنبه توسط شرکت امنیتی کسپرسکی منتشر شد، احتمال بر این است که تروجان توسط گروه بدافزار ویندوز Astaroth ‪(Guildma)‬ ساخته شده است.

کسپرسکی می‌گوید تروجان جدید Android برای بارگیری در داخل برنامه‌های مخرب اندروید بسته بندی شده و در سایت‌ها و سرورهایی که قبلاً توسط Astaroth ‪(Guildama)‬ استفاده می‌شده، ارائه شده است.

هیچ توزیعی از طریق فروشگاه رسمی Play انجام نشده است. در عوض، گروه Ghimob از ایمیل‌ها یا سایت‌های مخرب برای هدایت کاربران به وب سایت‌هایی که برنامه‌های Android را منتشر می‌کنند، استفاده کرد.

این برنامه‌ها از برنامه‌ها و برند‌های رسمی تقلید می‌کنند، نام‌هایی مانند Google Defender ،Google Docs ، WhatsApp Updater یا Flash Update. اگر کاربران علی رغم همه هشدارهای نشان داده شده در دستگاه‌های خود، نسبت به نصب برنامه‌ها بی‌دقت بودند، برنامه‌های مخرب به عنوان آخرین مرحله در روند آلودگی، درخواست دسترسی به سرویس Accessibility را دارند. اگر این اجازه داده شود، برنامه‌ها در تلفن آلوده به دنبال لیستی از ۱۵۳ برنامه هستند که با صفحات ورود جعلی به آن‌ها تلاش می‌کند تا اعتبار کاربر را به سرقت برند.

بیشتر برنامه‌های هدفمند برای بانک‌های برزیل بود، اما در نسخه‌های به روز شده اخیر، کسپرسکی گفت که Ghimob همچنین توانایی‌های خود را برای شروع هدف قرار دادن بانک‌ها در آلمان (پنج برنامه)، پرتغال (سه برنامه)، پرو (دو برنامه)، پاراگوئه (دو برنامه)، آنگولا و موزامبیک (یک برنامه در هر کشور) گسترش داده است.

علاوه بر این، Ghimob همچنین در تلاش برای دستیابی به حساب‌های رمز ارز، به روزرسانی برای هدف قرار دادن برنامه‌های مبادله ارز رمزنگاری شده اضافه کرده است، Ghimob یک روند کلی را در صحنه بدافزارهای اندروید دنبال می‌کند که به آرامی به سمت صاحبان ارزهای رمزپایه تغییر یافته است.

پس از موفقیت هرگونه اقدام فیشینگ، تمام مدارک جمع آوری شده به باند Ghimob ارسال می‌شود، که سپس به حساب قربانی دسترسی پیدا می‌کند و معاملات غیرقانونی را آغاز می‌کند.

در صورت محافظت از حساب‌ها با اقدامات امنیتی سختگیرانه، باند Ghimob از کنترل کامل خود بر روی دستگاه (از طریق سرویس Accessibility) برای پاسخگویی به هرگونه کاوشگر امنیتی و اعلان‌هایی که در تلفن هوشمند مورد حمله نشان داده شده استفاده کرده است.

ویژگی‌های Ghimob منحصر به فرد نیستند، اما در واقع آرایش سایر تروجان‌های بانکی اندروید مانند BlackRock یا Alien را کپی می‌کنند.

کسپرسکی خاطرنشان کرد که توسعه Ghimob در حال حاضر روند جهانی بازار بدافزارهای برزیل را تکرار می‌کند، باندهای بدافزار محلی بسیار فعال به آرامی در قربانیان کشورهای خارج گسترش می‌یابند.