یک بدافزار جدید گوشیهای اندرویدی ، کاربران اپلیکیشنهای پر استفاده رمزارز همچون کوینبیس (Coinbase)، بیتپی (Bitpay) و کیف پول بیتکوین و همچنین بانکهایی چون جیپی مورگان (JPMorgan)، ولز فارگو (Wells Fargo) و بانک آمریکا (Bank of America) را مورد هدف قرار داد. این گزارش در تاریخ ۲۸ مارس توسط وب سایت اخبار تکنولوژی نکست وب (the Next Web) منتشر شد.
بنا بر تحقیقاتی که گروه جرایم سایبری گروپآیبی (Group-IB) انجام داده است این اولین بار است که این بدافزار با نام گاستاف (Gustuff)، شناسایی و تحلیل شده است. طبق این گزارش گاستاف برای آلوده کردن دستگاههای زیادی طراحی شده است و از طریق اساماس و لینک آلوده در حال پخش شدن است. در این لینک فایلهای بدافزار اندرویدی وجود دارند.
سازندگان این بدافزار اندرویدی یک سیستم انتقال اتوماتیک (Automatic Transfer System) ساختهاند که از طریق آن، اپلیکیشنهای معتبر را به پایانههای پرداختی غیر امن هکرها هدایت میکنند. این اپلیکیشن با تقلید از اپلیکیشنهای معتبر، اطلاعات حساس کاربران را میدزدد. عمده هدف این اپلیکیشن، کاربران ۳۲ اپلیکیشن مرتبط به رمزارز است. یکی دیگر از فعالیتهای این اپلیکیشن، فرستادن پوش نوتیفیکیشن (Push Notification) با آیکونهای معتبر به دستگاهها است. این نوتیفیکیشنها، با دانلود اتوماتیک اپلیکیشنهای تقلبی و دزدیدن اطلاعات حساب کاربران، اقدام به هک اطلاعات آنها میکنند. پوش نوتیفیکیشن یک محتوای متنی (یا گاها تصویری) است که همانند پیامک برای شما ارسال میشود اما به جای آنکه در قسمت پیامها مشاهده شود، از طریق مرورگر فرستاده میشود. برخی از این پوش نوتیفیکیشنها ممکن است حاوی یک لینک باشند و از شما بخواهند که یک اپلیکیشن را نصب یا به روز رسانی کنید. برای اینکه از صحت پوش نوتیفیکیشن مطمئن شوید حتما به ارسال کننده آن دقت کنید. در صورتی که این نوتیفیکشن از یکی از اپلیکیشنهایی که در گوشی شما نصب نشده برایتان فرستاده شده است آن را باز نکنید. البته در برخی مواقع (همانند بدافزاری که در بالا گفته شد) این پوش نوتیفیکیشنها ممکن است با آیکون و اسم اپلیکیشنهای معتبر ارسال شوند و در نهایت شما را به یک لینک آلوده هدایت کنند.
گروپ آیبی، ۲۷ اپلیکیشن تقلبی مرتبط به رمزارز و بانک را در آمریکا، 16 عدد در لهستان، ۱۰ عدد در استرالیا، ۹ عدد در آلمان و ۹ عدد در هندوستان شناسایی کرد. این بدافزار همچنین سرویسهای پیامرسان و سیستمهای پرداخت همچون پیپل، ریوولوت (Revolut)، وسترن یونیون (Westerb Union)، ایبی (eBay)، والمارت (Walmart)، اسکایپ (Skype) و واتساپ را هم مورد حمله قرار داده است.
برای اینکه این بدافزار عمل کند، گاتساف دسترسی اندروید به ویژگیهایی که برای افراد ناتوان طراحی شده است را استفاده میکند. گروپ آیبی این روش را به عنوان یک حقه کارآمد معرفی میکند و میگوید:
استفاده از ساز و کار سرویس دسترسی یعنی تروجان میتواند تغییرات را به قوانین جدید امنیتی گوگل هدایت کند که در نسخههای جدید اندروید عرضه شدهاند. علاوه بر آن، گاتساف میداند که چطور ساز و کار محافظت گوگل را از کار بیاندازد. بنا بر گفته برنامهنویسِ این تروجان، این بدافزار روی ۷۰ درصد گوشیها با موفقیت کار میکند.
طبق تحقیقات گروپ آیبی، گاتساف توسط یک مجرم سایبری روسی با نام مستعار بستوآفر (Bestoffer) طراحی شده ولی هدف آن کاربران بینالمللی و خارج از روسیه است. به کاربران اندروید توصیه میشود که اپلیکیشنها را تنها از گوگل پلی دانلود کنند و به فایلهایی که دانلود میکنند توجه کنند.
همانطور که در ماه فوریه گزارش شد متاماسک (MetaMask) که یک اپلیکیشن غیر متمرکز است اخیرا از گوگل پلی خارج شد، زیرا مشخص شد که یک بدافزار با نام مشابه سعی در دزدیدن اطلاعات کاربران رمزارز دارد. اپلیکیشنهای غیر متمرکز (decenteralized app) با هدف کاهش حملات شخص سوم طراحی شدهاند. بک اندِ (back-end) این اپلیکیشنها در یک شبکه غیر متمرکز اجرا میشود و در نتیجه بدون نیاز به شخص سوم، تأمین کنندهها را به کاربران متصل میکند. این اپلیکیشنها در مقابل سانسور هم آسیبپذیری کمتری دارند و شیوههای پرداخت را بهبود میبخشند. امروزه بیشتر اپلیکیشنهای غیر متمرکز روی بستر بلاکچینِ اتریوم کار میکنند اما پلتفرمهای جدیدی هم در حال ظهور هستند. این ساز و کار تا حد زیادی حملات را کاهش میدهد اما هکرها همچنان موفق به پیدا کردن راههای نفوذ میشوند. در واقع با پیشرفت تکنولوژی، روشهایی که هکرها به کار میبرند نیز پیچیدهتر میشود.
منبع : cintjournal