بدافزار جدید اندروید حسابهای بانکی را هدف قرار میدهد
براساس گزارش روز دوشنبه شرکت امنیتی کسپرسکی (Kaspersky)، احتمال میرود که بدافزار بانکی جدید را همان گروه سازندهی بدافزار ویندوزی Astaroth ساخته باشد. بهگفتهی کسپرسکی، بدافزار جدید در برنامههای مخرب اندروید و وبسایتها و سرورهایی که قبلا بهمنظور انتشار بدافزار Astaroth استفاده میشد، برای بارگیری ارائه شده است. همچنین، توزیع آن هرگز ازطریق فروشگاه رسمی گوگل، یعنی پلی استور، انجام نشده است. درمقابل، گروه Ghimob از ایمیلها یا سایتهای مخرب برای هدایت کاربران به وبسایتهایی استفاده کرده است که برنامههای اندرویدی ارائه میدهند.
مقالهی مرتبط:
برنامههای مخرب برای جذب کاربران از نامهای شرکتها و برنامههای معروف مانند Google Defender ،Google Docs ،WhatsApp Updater و Flash Update استفاده میکنند. اگر کاربران با وجود همهی هشدارهای امنیتی، در نصب برنامههای ذکرشده بیدقتی کنند، برنامههای مخرب بهعنوان آخرین مرحله در روند آلودگی، از کاربران درخواست دسترسی به سرویسها را میکنند. درصورتیکه این اجازه داده شود، برنامهها در تلفن آلوده بهدنبال فهرستی از ۱۵۳ برنامه هستند و سعی میکنند کاربران را وارد صفحات جعلی کنند و اعتبار آنها را بدزدند.
بیشتر حملات هدفمند به برنامههای بانکی کشور برزیل انجام شده است؛ اما بهگفتهی کسپرسکی، بدافزار Ghimob در حال گسترش خود به کشورهایی چون آلمان، پرو، پرتغال و پاراگوئه است.
Ghimob برای دستیابی به حسابها و برنامههای مبادلهی ارز رمزنگاریشده بهمنظور سرقت از آنها تلاش میکند. همچنین بهگفتهی دادههای آماری، این بدافزار بهآرامی بهسمت صاحبان ارزهای رمزپایه تغییر یافته است. پس از موفقیت هرگونه اقدام فیشینگ، تمام مدارک جمعآوریشده به باند Ghimob ارسال میشود و سپس به حساب قربانی دسترسی پیدا و معاملات غیرقانونی را آغاز میکنند.
درصورت محافظت از حسابها با اقدامات امنیتی سختگیرانه، گروه Ghimob از کنترل کامل خود روی دستگاه ازطریق دسترسی به سرویسهایی که خود قربانی به آنها داده است، برای پاسخگویی به هرگونه کاوشگر امنیتی و اعلانهای نشاندادهشده استفاده میکند. ویژگیهای Ghimob منحصربهفرد نیستند. درواقع، رفتارهای سایر بدافزارهای بانکی اندروید، مانند BlackRock یا Alien را کپی میکنند.