کشف بدافزار سرقت کننده اطلاعات بانکی
بدافزار اندروید MaliBot قادر بهدور زدن احراز هویت دومرحلهای است
محققان یک خانواده بدافزار جدید اندرویدی را کشف کردهاند که میتواند دادههای شخصی و مالی را پس از به خطر انداختن دستگاهها استخراج کند. به گفته محققان، این بدافزار نهتنها میتواند فرایندهای احراز هویت چندعاملی را دور بزند، بلکه میتواند دادههای بانکی، رمزهای عبور و کیف پولهای ارزهای دیجیتال را نیز به سرقت ببرد.
به گزارش پایگاه خبری بانکداری الکترونیک ،شایانذکر است که این بدافزار از طریق وبسایتهای تقلبی توزیع میشود و قربانیان را فریب میدهد تا آن را دانلود کنند، زیرا فکر میکنند این یک برنامه محبوب ردیابی ارزهای دیجیتال است. همچنین از طریق smishing توزیع میشود. علاوه بر این، محققان دو سایت مخرب توزیعکننده MaliBot را شناسایی کردهاند. یکی از آنها نسخه جعلی TheCryptoApp است که دارای بیش از یک میلیون دانلود در فروشگاه Google Play است.
جزئیات MaliBot
محققان بدافزار اندروید را MaliBot نامگذاری کرده اند. این بدافزار قدرتمند که بهعنوان یک برنامه استخراج ارز دیجیتال پنهان شده است ممکن است وانمود کند که یک برنامه دیگر یا یک مرورگر کروم است. هنگام دانلود از کاربر برای نظارت بر دستگاه و انجام عملیات مخرب آن، مجوزهای دسترسی و راهاندازی میخواهد.
MaliBot از اجرای سرور مجازی شبکه محاسباتی (VNC) برای بهدستآوردن کنترل دستگاههای آلوده استفاده میکند. هنگامی که دستگاهی را آلوده میکند، شروع به استخراج دادههای مالی میکند و PII (اطلاعات قابلشناسایی شخصی) و اطلاعات کیف پول ارزهای دیجیتال را میدزدد. تحقیقات نشان داد که سرور C2 این بدافزار در روسیه مستقر است و سرورها همان سرورهایی هستند که قبلاً برای توزیع بدافزار Sality استفاده میشدند. از ژوئن 2020، IP برای راهاندازی کمپینهای مختلف بدافزار استفاده شد.
قابلیتهای MaliBot
• MaliBot دارای قابلیتهای متنوعی است، از جمله اینکه از تزریق وب پشتیبانی میکند و میتواند در حملات همپوشانی استفاده شود. میتواند برنامهها را اجرا و حذف کند و دادههای حساس مانند کدهای MFA، کوکیها، پیامهای SMS و غیره را بدزدد.
• میتواند از راه دور رمزهای عبور را بدزدد و به پیامهای متنی، اطلاعات کیف پول رمزنگاری، کوکیهای مرورگر وب، جزئیات بانکی و گرفتن اسکرینشات از دستگاههای در معرض خطر دسترسی پیدا کند. همچنین میتواند حفاظت MFA را دور بزند.
• عمدتاً از API دسترسی به Android سوءاستفاده میکند که به آن اجازه میدهد بدون درخواست اجازه کاربر یا تعامل، اقدامات خاصی را انجام دهد و همچنان روی دستگاه آلوده باقی بماند. همچنین با تأیید درخواستهای Google از طریق Accessibility API، فرایندهای 2FA را دور میزند و کدهای 2FA را میدزدد که بعداً به مهاجم منتقل میشوند.
• بدافزار اندروید MaliBot تازه کشف شده اطلاعات مالی/شخصی را میدزدد
وقتی بدافزار از طریق پیامک توزیع میشود، میتواند استثناها را ثبت کند و خود را بهعنوان راهانداز ثبت کند. دورزدن محافظهای اطراف کیف پولهای کریپتو به مهاجمان اجازه میدهد بیتکوین و سایر ارزهای دیجیتال را از کیف پول قربانی مرتبط با دستگاه آلوده سرقت کنند.
در نهایت، مانند FluBot، MaliBot میتواند پیامهای SMS را برای سایر کاربران ارسال کند تا زنجیره عفونت را گسترش دهد. در حال حاضر، این کمپین مشتریان بانکهای اسپانیایی و ایتالیایی را هدف قرار میدهد، اما دامنه عفونت ممکن است بهزودی گسترش یابد، محقق آزمایشگاه F5، دور نزار، خاطرنشان کرد.