برنامه های کریپتو در معرض بدافزار SharkBot در Google Play

برنامه کریپتویی در معرض بدافزار SharkBot در گوگل

بدافزار SharkBot در قالب یک برنامه دوباره در فروشگاه Google Play ظاهر شد که با دور زدن کوکی ها و کد های شناسایی مشتری به برنامه های کریپتو و بانکی دسترسی پیدا می کند. خانواده بدافزار SharkBot اولین بار در اکتبر گذشته کشف شد و با روش‌های جدیدی برای هک کردن برنامه‌ های کریپتو و بانکی مبتنی بر اندروید کاربران به تکامل خود ادامه داده است.

بدافزار SharkBot در کمین برنامه های کریپتو و بانکی

یک نسخه جدید ارتقا یافته از یک اپلیکیشن که برنامه های کریپتو و بانکی که بدافزار را هدف قرار می‌دهد، اخیراً در فروشگاه Google Play ظاهر شده است و اکنون قابلیت سرقت کوکی‌ها، ورود به حساب‌ها و دور زدن الزامات اثر انگشت یا احراز هویت دارد.

هشداری در مورد نسخه جدید بدافزار توسط تحلیلگر بدافزار آلبرتو سگورا (Alberto Segura) و تحلیلگر اطلاعاتی مایک استوکل (Mike Stokkle) در تاریخ 2 سپتامبر در حساب های توییتر به اشتراک گذاشته شد. این دو نفر همچنین مقاله مشترک خود را در وبلاگ Fox IT به اشتراک گذاشتند.

به گفته سگورا، نسخه جدید این بدافزار در 22 آگوست کشف شد و می‌تواند «حملات همپوشانی انجام دهد، داده‌ها را از طریق keylogging به سرقت ببرد، پیام‌های SMS را رهگیری کند، یا با سوء استفاده از سرویس‌های دسترسی، کنترل کامل از راه دور دستگاه میزبان را بدست بگیرد.»

نسخه جدید بدافزار در دو برنامه اندروید یافت شد – «Mister Phone Cleaner» و «Kylhavy Mobile Security» که از آن زمان به ترتیب 50000 و 10000 بار دانلود شده اند.

این دو برنامه در ابتدا توانستند به Play Store راه یابند زیرا بررسی خودکار کد گوگل هیچ کد مخربی را شناسایی نکرد. با این حال، از آن زمان از فروشگاه حذف شده است.

این مطلب را حتما بخوانید:  آیا قیمت بیت کوین برای یک سقوط عظیم دیگر آماده است؟

با این حال، ناظران پیشنهاد کرده اند که 60000 کاربری که این برنامه ها را نصب کرده اند ممکن است همچنان در معرض خطر باشند و باید برنامه ها را به صورت دستی حذف کنند.

تجزیه و تحلیل ریزبینانه شرکت امنیتی لیفی مستقر در ایتالیا نشان داد که 22 هدف توسط SharkBot شناسایی شده است که شامل پنج صرافی ارزهای دیجیتال و تعدادی بانک بین المللی در ایالات متحده، بریتانیا و ایتالیا می شود.

در مورد نحوه حمله بدافزار، نسخه قبلی بدافزار SharkBot «برای اجرای خودکار نصب بدافزار dropper SharkBot به مجوزهای دسترسی متکی بود.»

اما این نسخه جدید از این جهت متفاوت است که «از قربانی می‌خواهد تا بدافزار را به‌عنوان یک به‌روزرسانی جعلی برای آنتی‌ویروس نصب کند تا در برابر تهدیدات محافظت شود».

در صورت نصب، هنگامی که قربانی به حساب بانکی یا برنامه های کریپتو خود وارد می شود، SharkBot می تواند کوکی معتبر خود را از طریق دستور «logsCookie» بگیرد، که اساساً هر روش اثر انگشت یا احراز هویت استفاده شده را دور می زند.

اولین نسخه بدافزار SharkBot اولین بار توسط کلیفی (Cleafy) در اکتبر 2021 کشف شد.

با توجه به اولین تحلیل کلیفی در مورد SharkBot، هدف اصلی SharkBot «آغاز انتقال پول از دستگاه های در معرض خطر از طریق تکنیک سیستم های انتقال خودکار (ATS) با دور زدن مکانیسم های احراز هویت چند عاملی بود.»

منبع : Cointelegraph

پاسخ

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *