کشف بدافزار سرقت کننده اطلاعات بانکی

بدافزار اندروید MaliBot قادر به‌دور زدن احراز هویت دومرحله‌ای است

محققان یک خانواده بدافزار جدید اندرویدی را کشف کرده‌اند که می‌تواند داده‌های شخصی و مالی را پس از به خطر انداختن دستگاه‌ها استخراج کند. به گفته محققان، این بدافزار نه‌تنها می‌تواند فرایندهای احراز هویت چندعاملی را دور بزند، بلکه می‌تواند داده‌های بانکی، رمزهای عبور و کیف پول‌های ارزهای دیجیتال را نیز به سرقت ببرد.

به گزارش پایگاه خبری بانکداری الکترونیک ،شایان‌ذکر است که این بدافزار از طریق وب‌سایت‌های تقلبی توزیع می‌شود و قربانیان را فریب می‌دهد تا آن را دانلود کنند، زیرا فکر می‌کنند این یک برنامه محبوب ردیابی ارزهای دیجیتال است. همچنین از طریق smishing توزیع می‌شود. علاوه بر این، محققان دو سایت مخرب توزیع‌کننده MaliBot را شناسایی کرده‌اند. یکی از آنها نسخه جعلی TheCryptoApp است که دارای بیش از یک میلیون دانلود در فروشگاه Google Play است.

جزئیات MaliBot
محققان بدافزار اندروید را MaliBot نام‌گذاری کرده اند. این بدافزار قدرتمند که به‌عنوان یک برنامه استخراج ارز دیجیتال پنهان شده است ممکن است وانمود کند که یک برنامه دیگر یا یک مرورگر کروم است. هنگام دانلود از کاربر برای نظارت بر دستگاه و انجام عملیات مخرب آن، مجوزهای دسترسی و راه‌اندازی می‌خواهد.

MaliBot از اجرای سرور مجازی شبکه محاسباتی (VNC) برای به‌دست‌آوردن کنترل دستگاه‌های آلوده استفاده می‌کند. هنگامی که دستگاهی را آلوده می‌کند، شروع به استخراج داده‌های مالی می‌کند و PII (اطلاعات قابل‌شناسایی شخصی) و اطلاعات کیف پول ارزهای دیجیتال را می‌دزدد. تحقیقات نشان داد که سرور C2 این بدافزار در روسیه مستقر است و سرورها همان سرورهایی هستند که قبلاً برای توزیع بدافزار Sality استفاده می‌شدند. از ژوئن 2020، IP برای راه‌اندازی کمپین‌های مختلف بدافزار استفاده شد.

قابلیت‌های MaliBot
•    MaliBot دارای قابلیت‌های متنوعی است، از جمله اینکه از تزریق وب پشتیبانی می‌کند و می‌تواند در حملات همپوشانی استفاده شود. می‌تواند برنامه‌ها را اجرا و حذف کند و داده‌های حساس مانند کدهای MFA، کوکی‌ها، پیام‌های SMS و غیره را بدزدد.
•    می‌تواند از راه دور رمزهای عبور را بدزدد و به پیام‌های متنی، اطلاعات کیف پول رمزنگاری، کوکی‌های مرورگر وب، جزئیات بانکی و گرفتن اسکرین‌شات از دستگاه‌های در معرض خطر دسترسی پیدا کند. همچنین می‌تواند حفاظت MFA را دور بزند.
•    عمدتاً از API دسترسی به Android سوءاستفاده می‌کند که به آن اجازه می‌دهد بدون درخواست اجازه کاربر یا تعامل، اقدامات خاصی را انجام دهد و همچنان روی دستگاه آلوده باقی بماند. همچنین با تأیید درخواست‌های Google از طریق Accessibility API، فرایندهای 2FA را دور می‌زند و کدهای 2FA را می‌دزدد که بعداً به مهاجم منتقل می‌شوند.
•    بدافزار اندروید MaliBot تازه کشف شده اطلاعات مالی/شخصی را می‌دزدد
وقتی بدافزار از طریق پیامک توزیع می‌شود، می‌تواند استثناها را ثبت کند و خود را به‌عنوان راه‌انداز ثبت کند. دورزدن محافظ‌های اطراف کیف پول‌های کریپتو به مهاجمان اجازه می‌دهد بیت‌کوین و سایر ارزهای دیجیتال را از کیف پول قربانی مرتبط با دستگاه آلوده سرقت کنند.

در نهایت، مانند FluBot، MaliBot می‌تواند پیام‌های SMS را برای سایر کاربران ارسال کند تا زنجیره عفونت را گسترش دهد. در حال حاضر، این کمپین مشتریان بانک‌های اسپانیایی و ایتالیایی را هدف قرار می‌دهد، اما دامنه عفونت ممکن است به‌زودی گسترش یابد، محقق آزمایشگاه F5، دور نزار، خاطرنشان کرد.

لینک کوتاهلینک کپی شد!
ممکن است شما دوست داشته باشید
ارسال یک پاسخ

  +  45  =  50