گروه تحقیقاتی مستقر در سنگاپور، بدافزار هیولای پدرخوانده را توصیف میکند که برای هدف قرار دادن بیش از 400 برنامه فینتک، صرافیهای ارز دیجیتال و کیف پول در بیش از 16 کشور استفاده میشود.
در یک تفصیل گزارش، Group-IB نشان می دهد که هکرها می توانند اطلاعات ورود به سیستم بانکداری آنلاین و غیره را سرقت کنند خدمات مالی با استفاده از بدافزار پدرخوانده، آنها را قادر می سازد تا حساب های قربانیان را خالی کنند. موسسات مالی در بریتانیا بیشترین آسیب را در میان 400 قربانی داشته اند و حملات در سه ماه گذشته رخ داده است.
در گروه-IB، نیمی از اهداف موسسات مالی بودند. 17 مورد در انگلستان، 49 در ایالات متحده، 31 در ترکیه و 30 در اسپانیا قرار داشتند. قربانیان باقی مانده در کانادا، فرانسه، آلمان، ایتالیا و لهستان هستند.
تروجان پدرخوانده: چگونه کار می کند
تروجان بانکی اندروید جانشین جدید Anubis است که در سال 2019 نیز آسیب زیادی به اکوسیستم وارد کرد. شباهتهای این دو بدافزار روشهای دریافت آدرس C2، اجرای دستورات C2 و استفاده از ماژولها برای صفحه نمایش است. گرفتن، پروکسیو جعل وب با این حال، توانایی ضبط صدا، ردیابی موقعیت مکانی شما و دور زدن احراز هویت دو مرحله ای فقط در بدافزار پدرخوانده در دسترس است.
بدافزار پدرخوانده در برنامههای اندرویدی موجود در فروشگاه Play پنهان است. کد مخرب محموله به گونه ای پنهان شده است که شبیه Google Protect است. این سرویس برنامه ها را برای رفتارهای احتمالی خطرناک اسکن می کند. پس از راه اندازی توسط یک کاربر، بدافزار از یک برنامه واقعی گوگل تقلید می کند. یک انیمیشن "Google protect" را نشان می دهد، اما هیچ کدام وجود ندارد.
پس از نصب برنامه برداری از Play Store، بدافزار مجوز خود را وارد سیستم قربانی می کند. با فرمان ها و سرور کنترل خود ارتباط برقرار می کند و تمام داده های قربانی را ارسال می کند. اهداف ممکن است تنها زمانی متوجه این پیشرفتها شوند که وجوه خود را از دست بدهند و برداشتن یا غیرفعال کردن برنامه مجاز برایشان دشوار باشد.
Artem Grischenko، تحلیلگر جوان بدافزار در Group-IB، گفت که روابط بین پدرخوانده و Annubis نشان می دهد که مجرمان سایبری در حال رشد هستند. نیاز به توسعه دهندگان و مدیران وجود دارد که زیرساخت های خود را به روز کنند زیرا هر کسی پشت پدرخوانده است تروجان هنوز هم می تواند کارهای بیشتری انجام دهد.
بخش قاطع این تحقیق همچنین نشان میدهد که کشورهایی که با اتحاد شوروی منحل شدهاند به طور کامل در فهرست و رتبه قربانیان غایب هستند. آ خط کد گزارش شده است که در تروجان به محض اینکه متوجه زبان های روسی، مولداوی، قرقیزی، آذربایجانی، قزاقستانی، ارمنی، تاجیکی یا ازبکی شود، عملیات را خاموش می کند. محققان احتمال الف جنگ سایبری.
منبع: https://crypto.news/android-trojan-targets-over-400-apps-including-crypto-and-fintech/