بدافزار اندرویدی ، کاربرانِ ۳۲ اپلیکیشن مرتبط با رمزارز شامل کوین‌بیس و بیت‌پی را مورد هدف قرار داد

243

یک بدافزار جدید گوشی‌های اندرویدی ، کاربران اپلیکیشن‌های پر استفاده رمزارز همچون کوین‌بیس (Coinbase)، بیت‌پی (Bitpay) و کیف پول بیت‌کوین و همچنین بانک‌هایی چون جی‌پی مورگان (JPMorgan)، ولز فارگو (Wells Fargo) و بانک آمریکا (Bank of America) را مورد هدف قرار داد. این گزارش در تاریخ ۲۸ مارس توسط وبسایت اخبار تکنولوژی نکست وب (the Next Web) منتشر شد.

بنا بر تحقیقاتی که گروه جرایم سایبری گروپ‌آی‌بی (Group-IB) انجام داده است این اولین بار است که این بدافزار با نام گاستاف (Gustuff)، شناسایی و تحلیل شده است. طبق این گزارش گاستاف برای آلوده کردن دستگاه‌های زیادی طراحی شده است و از طریق اس‌ام‌اس و لینک آلوده در حال پخش شدن است. در این لینک فایل‌های بدافزار اندرویدی وجود دارند.

سازندگان این بدافزار اندرویدی یک سیستم انتقال اتوماتیک (Automatic Transfer System) ساخته‌اند که از طریق آن، اپلیکیشن‌های معتبر را به پایانه‌های پرداختی غیر امن هکرها هدایت می‌کنند. این اپلیکیشن با تقلید از اپلیکیشن‌های معتبر، اطلاعات حساس کاربران را می‌دزدد. عمده هدف این اپلیکیشن، کاربران ۳۲ اپلیکیشن مرتبط به رمزارز است. یکی دیگر از فعالیت‌های این اپلیکیشن، فرستادن پوش نوتیفیکیشن (Push Notification) با آیکون‌های معتبر به دستگاه‌ها است. این نوتیفیکیشن‌ها، با دانلود اتوماتیک اپلیکیشن‌های تقلبی و دزدیدن اطلاعات حساب کاربران، اقدام به هک اطلاعات آنها می‌کنند. پوش نوتیفیکیشن یک محتوای متنی (یا گاها تصویری) است که همانند پیامک برای شما ارسال می‌شود اما به جای آنکه در قسمت پیام‌ها مشاهده شود، از طریق مرورگر فرستاده می‌شود. برخی از این پوش نوتیفیکیشن‌ها ممکن است حاوی یک لینک باشند و از شما بخواهند که یک اپلیکیشن را نصب یا به روز رسانی کنید. برای اینکه از صحت پوش نوتیفیکیشن مطمئن شوید حتما به ارسال کننده آن دقت کنید. در صورتی که این نوتیفیکشن از یکی از اپلیکیشن‌هایی که در گوشی شما نصب نشده برایتان فرستاده شده است آن را باز نکنید. البته در برخی مواقع (همانند بدافزاری که در بالا گفته شد) این پوش نوتیفیکیشن‌ها ممکن است با آیکون و اسم اپلیکیشن‌های معتبر ارسال شوند و در نهایت شما را به یک لینک آلوده هدایت کنند.

گروپ آی‌بی، ۲۷ اپلیکیشن تقلبی مرتبط به رمزارز و بانک را در آمریکا، 16 عدد در لهستان، ۱۰ عدد در استرالیا، ۹ عدد در آلمان و ۹ عدد در هندوستان شناسایی کرد. این بدافزار همچنین سرویس‌های پیام‌رسان و سیستم‌های پرداخت همچون پی‌پل، ریوولوت (Revolut)، وسترن یونیون (Westerb Union)، ای‌بی (eBay)، والمارت (Walmart)، اسکایپ (Skype) و واتس‌اپ را هم مورد حمله قرار داده است.

برای اینکه این بدافزار عمل کند، گاتساف دسترسی اندروید به ویژگی‌هایی که برای افراد ناتوان طراحی شده است را استفاده می‌کند. گروپ آی‌بی این روش را به عنوان یک حقه کارآمد معرفی می‌کند و می‌گوید:

استفاده از ساز و کار سرویس دسترسی یعنی تروجان می‌تواند تغییرات را به قوانین جدید امنیتی گوگل هدایت کند که در نسخه‌های جدید اندروید عرضه شده‌اند. علاوه بر آن، گاتساف می‌داند که چطور ساز و کار محافظت گوگل را از کار بیاندازد. بنا بر گفته برنامه‌نویسِ این تروجان، این بدافزار روی ۷۰ درصد گوشی‌ها با موفقیت کار می‌کند.

طبق تحقیقات گروپ آی‌بی، گاتساف توسط یک مجرم سایبری روسی با نام مستعار بستوآفر (Bestoffer) طراحی شده ولی هدف آن کاربران بین‌المللی و خارج از روسیه است. به کاربران اندروید توصیه می‌شود که اپلیکیشن‌ها را تنها از گوگل ‌پلی دانلود کنند و به فایل‌هایی که دانلود می‌کنند توجه کنند.

همانطور که در ماه فوریه گزارش شد متاماسک (MetaMask) که یک اپلیکیشن غیر متمرکز است اخیرا از گوگل پلی خارج شد، زیرا مشخص شد که یک بدافزار با نام مشابه سعی در دزدیدن اطلاعات کاربران رمزارز دارد. اپلیکیشن‌های غیر متمرکز (decenteralized app) با هدف کاهش حملات شخص سوم طراحی شده‌اند. بک اندِ (back-end) این اپلیکیشن‌ها در یک شبکه غیر متمرکز اجرا می‌شود و در نتیجه بدون نیاز به شخص سوم، تأمین کننده‌ها را به کاربران متصل می‌کند. این اپلیکیشن‌ها در مقابل سانسور هم آسیب‌پذیری کم‌تری دارند و شیوه‌های پرداخت را بهبود می‌بخشند. امروزه بیشتر اپلیکیشن‌های غیر متمرکز روی بستر بلاک‌چینِ اتریوم کار می‌کنند اما پلت‌فرم‌های جدیدی هم در حال ظهور هستند. این ساز و کار تا حد زیادی حملات را کاهش می‌دهد اما هکرها همچنان موفق به پیدا کردن راه‌های نفوذ می‌شوند. در واقع با پیشرفت تکنولوژی، روش‌هایی که هکرها به کار می‌برند نیز پیچیده‌تر می‌شود.

منبع : cintjournal 

نظر بگذارید

Please enter your comment!
نام و نام خانوادگی