[ad_1]

بدافزار جدیدی برای کلاهبرداری بانکی به نام Vultur هزاران دستگاه را آلوده می کند

بدافزارهای اخیراً کشف شده برای Android ، برخی از آنها از طریق فروشگاه Google Play توزیع شده است ، از روش جدیدی برای بارگیری مجدد مجموعه اطلاعات ورود به سیستم از بیش از 100 برنامه بانکی و ارزهای رمزنگاری شده استفاده می کند.

این بدافزار که محققان شرکت امنیتی مستقر در آمستردام ThreatFabric آن را Vultur می نامند ، اگر نه بر– اولین تهدیدهای اندروید برای ضبط صفحه نمایش دستگاه هنگام باز شدن یکی از برنامه های هدف. محققان ThreatFabric گفتند که Vultur از یک برنامه کاربردی اشتراک گذاری صفحه VNC در دنیای واقعی برای نشان دادن صفحه دستگاه آلوده بر روی سروری که توسط مهاجم کنترل می شود ، استفاده می کند.

ThreatFabric

ThreatFabric

سطح بعدی

روش معمول برای بدافزارهای مبتنی بر Android برای کلاهبرداری بانکی ، پوشاندن پنجره ای در بالای صفحه ورود به سیستم است که توسط یک برنامه هدف ارائه شده است. “پوشش” ، همانطور که معمولاً به این پنجره ها گفته می شود ، شبیه به رابط کاربری برنامه بانکی است و به قربانیان این تصور را می دهد که اعتبار خود را وارد نرم افزارهای معتبر می کنند. سپس مهاجمان اعتبارنامه ها را جمع آوری می کنند ، آنها را وارد برنامه ای می کنند که روی دستگاه دیگری اجرا می شود و پول برداشت می کنند.

محققان ThreatFabric نوشتند: “تهدیدهای بانکی در پلت فرم تلفن همراه دیگر فقط بر اساس حملات پوششی معروف نیستند ، بلکه به بدافزارهای RAT تبدیل می شوند و ترفندهای مفیدی مانند تشخیص برنامه های کاربردی برای شروع ضبط روی صفحه را به ارث می برند.” در پست.

آنها ادامه دادند:

این امر تهدید را به سطح دیگری می رساند ، زیرا چنین ویژگی هایی درهای کلاهبرداری دستگاه را باز می کند ، با دور زدن تشخیص MO های مبتنی بر فیشینگ که نیاز به تقلب در دستگاه جدید دارند: با Vultur ، کلاهبرداری می تواند در دستگاه آلوده قربانی رخ دهد. این حملات مقیاس پذیر و خودکار هستند ، زیرا اقدامات کلاهبرداری را می توان در پس زمینه بدافزار اسکریپت کرد و در قالب دستورات متوالی ارسال کرد.

Vultur ، مانند بسیاری از تروجان های بانکی برای اندروید ، به خدمات دسترسی که در سیستم عامل تلفن همراه تعبیه شده است ، بسیار متکی است. در نصب اول ، Vultur با سو mis استفاده از این خدمات مجوزهای لازم کار را دریافت کرد. برای انجام این کار ، بدافزار از روکش برگرفته از سایر خانواده های بدافزار استفاده می کند. از این پس ، Vultur تمام درخواست هایی را که باعث ایجاد خدمات دسترسی می شوند ، نظارت می کند.

ThreatFabric

مخفی کاری و همکاران

بدافزار از خدمات تشخیص پرس و جو که از یک برنامه هدفمند آمده است ، استفاده می کند. بدافزار همچنین از خدمات برای جلوگیری از استفاده کاربران از اقدامات سنتی برای حذف برنامه استفاده می کند. به طور خاص ، هر بار که کاربر سعی دارد وارد صفحه جزئیات برنامه در تنظیمات Android شود ، Vultur به طور خودکار دکمه بازگشت را فشار می دهد. با این کار دسترسی کاربر به دکمه حذف نصب مسدود می شود. Vultur همچنین نماد خود را پنهان می کند.

راه دیگری برای مخفی نگه داشتن بدافزارها: برنامه های تروجان که آن را نصب می کنند ، برنامه های کامل هستند که در واقع خدمات واقعی مانند ردیابی تناسب اندام یا احراز هویت دو مرحله ای را ارائه می دهند. با این حال ، علیرغم تلاش برای مخفی کردن ، این بدافزار حداقل یک سیگنال کار می کند – هر برنامه Trojan نصب شده توسط Vultur در صفحه اعلانات Android به عنوان یک صفحه نمایش ظاهر می شود.

ThreatFabric

پس از نصب ، Vultur ضبط صفحه را با استفاده از استقرار VNC از Alpha VNC شروع می کند. این بدافزار برای دسترسی از راه دور به سرور VNC که روی دستگاه آلوده اجرا می شود ، از گرمک استفاده می کند ، برنامه ای که از یک تونل رمزگذاری شده برای افشای سیستم های محلی پنهان در پشت دیوارهای آتش در اینترنت عمومی استفاده می کند.

این بدافزار توسط یک برنامه تروجان معروف به قطره چکان نصب شده است. تا کنون ، محققان ThreatFabric دو تروجان در Google Play پیدا کرده اند که Vultur را نصب می کنند. آنها تاسیسات حدود 5000 مورد داشتند که محققان را برآورد کرد که تعداد عفونت های Vultur در هزاران است. برخلاف اکثر بدافزارهای اندرویدی که به قطره چکان شخص ثالث متکی است ، Vultur از قطره چکان سفارشی به نام Brunhilda استفاده می کند.

محققان ThreatFabric می نویسند: “این قطره چکان و Vultur توسط یک گروه بازیگران تهدید کننده ساخته شده اند.” “انتخاب توسعه کد شخصی تروجان به جای استخدام بدافزار شخص ثالث ، انگیزه قوی این گروه را نشان می دهد ، به همراه سطح بالای کلی ساختار و سازمان موجود در ربات ، و همچنین کد سرور.”

محققان دریافته اند که از Brunhilda در گذشته برای نصب بدافزارهای مختلف بانکی اندروید معروف به Alien استفاده می شده است. برآورد محققان برونیلدا بیش از 30 هزار دستگاه را آلوده کرده است. محققان ارزیابی را بر اساس برنامه های مخربی که قبلاً در Play Store در دسترس بودند – برخی با بیش از 10 هزار نصب – و همچنین داده های بازارهای کشور های سوم.

Vultur برنامه ریزی شده است تا هنگامی که هر 103 برنامه Android یا رمز ارز در پیش زمینه اجرا می شوند ، صفحه ها را ضبط کنند. ایتالیا ، استرالیا و اسپانیا کشورهایی بودند که بیشترین موسسات بانکی را مورد هدف قرار دادند.

ThreatFabric

این بدافزار علاوه بر برنامه های بانکی و ارزهای رمزنگاری شده ، اطلاعات کاربری فیس بوک ، صاحب پیام رسان واتس اپ فیس بوک ، TikTok و مسنجر وایبر را نیز جمع آوری می کند. جمع آوری اعتبار برای این برنامه ها از طریق ورودی صفحه کلید سنتی انجام می شود ، اگرچه انتشار ThreatFabric دلیل آن را توضیح نمی دهد.

اگرچه گوگل همه برنامه های Play Market را که حاوی Brunhilda هستند حذف کرده است ، اما نتایج این شرکت نشان می دهد که برنامه های جدید تروجان به نظر می رسد. کاربران Android فقط باید برنامه هایی را نصب کنند که خدمات مفیدی را ارائه می دهند و حتی در صورت امکان برنامه های ناشران معتبر را نصب کنند. مردم همچنین باید به علائم کاربر و رفتار برنامه برای علائم سوء نیت توجه زیادی داشته باشند.

[ad_2]

منبع: tarjome-news.ir