حمله بدافزارهای Invisible Man به برنامه‌های بانکی اندروید

به گزارش بانک اول به نقل از ایبنا بدافزاری بنام Swpeng در حدود چهار سال فعالیت کرد و نویسنده آن در سال ۲۰۱۵ به دام افتاد و روانه زندان شد. با این‌وجود، بدافزارها به لطف دیگر کلاه‌برداران که اهداف خود را با کدنویسی دنبال می‌کنند،  در حال تکامل هستند.

در حال حاضر محققان کسپرسکی کشف کرده‌اند که سوءاستفاده از خدمات ارائه شده توسط اندروید، با یک پوشش پنهانی، در برنامه‌های پایدار بانکداری که در دستگاه نصب‌شده انجام می‌گیرد. این لایه پنهان، صفحه‌کلید لمسی را به برنامه زیرزمینی متصل می‌کند.

درواقع، این نرم‌افزارهای مخرب، مانند یک کی‌لاگر عمل کرده و اطلاعات ورودی قربانی را در صورت دسترسی به‌حساب بانکی خود به دست می‌آورند. با دسترسی به پیام‌های متنی و اطلاعات به‌دست‌آمده، کلاه‌برداران می‌توانند با جاسوسی، جزئیات حساس را از بین برده و محتوای حساب‌ها را به‌دلخواه خودکنترل کرده و تغییر دهند.

این بدافزار به‌عنوان دانلود فایل جعلی "فلش پلیر" پنهان‌شده و علامت آن نیز به‌صورت کاملاً اغواکننده ایجاد می‌شود و با پسوند APK. در وب‌سایت‌های مشکوک انتشار می‌یابد. این مهم نیست که شما آخرین نسخه اندروید را با آخرین وصله‌های امنیتی آن اجرا می‌کنید؛ برنامه‌های مضر، به‌جای اینکه از آسیب‌پذیری‌های نرم‌افزاری استفاده کنند، از امتیاز دسترسی غیرمجاز برای انجام کارهای کثیف خود استفاده می‌کنند. البته هدف این است که برنامه‌های مشکوک را از وب‌سایت‌های غیرقابل‌اعتماد نصب نکنید.

Roman Unuchek تحلیلگر بدافزار در آزمایشگاه کسپرسکی گفت: "Trojan-Banker.AndroidOS.Svpeng.ae توسط وب‌سایت‌های مخرب به‌عنوان یک "پلیر" جعلی توزیع‌شده است. "

"تکنیک‌های مخرب این نوع بدافزار حتی در دستگاه‌های به‌روز شده با آخرین نسخه اندروید و با تمام به‌روزرسانی‌های امنیتی بازهم کار می‌کند. این تروجان می‌تواند تنها با دسترسی به یکی از ویژگی‌های سیستم، تمام داده‌های لازم را به دست آورده و اطلاعات زیادی را به سرقت ببرد. "

طبق ادعای کسپرسکی: هنگامی‌که کاربر با نصب نرم‌افزار مخرب فریب می‌خورد، درخواستی را برای استفاده از امکانات اندروید ارائه می‌دهد و هنگامی‌که این اجازه صادر شد، دسترسی کاربر بطور کامل از سرویس‌های ارائه شده قطع می‌شود.

تروجان توسط مدیر دستگاه این امکان را برای خود فراهم می‌کند که خود را به صورت پیش‌فرض بر روی برنامه‌های دیگر نصب‌کرده و همچنین برخی مجوزهای پویا شامل توانایی ارسال و دریافت پیام کوتاه متنی، برقراری تماس و خواندن مخاطبین را به دست آورد.

علاوه بر این، با استفاده از توانایی‌های جدید به‌دست‌آمده، تروجان می‌تواند هرگونه تلاش برای بلاک شدن توسط مدیر دستگاه را مسدود کرده و درنتیجه از حذف خود نیز جلوگیری کند. جالب است که در انجام این کار هرگونه تلاش برای اضافه کردن یا حذف کردن برنامه‌های دیگر توسط مدیر دستگاه نیز مسدود می‌شود.

این بدافزار به‌صورت نامرئی به ۱۴ برنامه بانکی در بریتانیا، ۱۰ برنامه در آلمان، ۹ برنامه در ترکیه و استرالیا، ۸ برنامه در فرانسه، ۷ برنامه در لهستان و ۶ برنامه در سنگاپور و همچنین به خود برنامه Speedway نیز نفوذ کرده است. این بدافزار برای گرفتن دستورالعمل‌های بیشتر از سمت کنترل‌کننده‌های خود، به صورت از راه دور به مرکز فرماندهی و کنترل متصل شده و آنها می‌توانند به‌منظور دسترسی به پیام‌های متنی ارسالی، فهرست مخاطبین، لیست برنامه‌های نصب‌شده، سابقه تماس‌ها، دست‌کاری متون و ردگیری SMSes های ورودی به بدافزار دستور دهند.

این بدافزار از صفحه‌کلید استاندارد اندروید پشتیبانی کرده و می‌تواند، هر بار که شما صفحه‌کلید را لمس می‌کنید، تصاویری از آن را ارسال کند.

تنها راه محافظت در برابر این بدافزار مخرب،  به‌جز جلوگیری از دانلود و نصب تصادفی فایل آن با پسوند APK. از وب‌سایت‌های مشکوک - این است که گوشی‌های هوشمند خود را بر روی زبان روسی تنظیم کنید.  Unuchek گفت:  اگر تروجان Svpeng خود را بر روی یک تلفن روسی تشخیص دهد، غیرفعال شده و خود را حذف می‌کند؛ نویسندگان روسی بدافزار به دنبال اجتناب از پیگرد قانونی و کسب محبوبیت بیشتر در کشور خود دست به این عمل می‌زنند.