مطالب مطالب

بررسی تحلیلی جدیدترین بدافزار Android با سیستم پخش SMS Phishing

 

در آوریل 2016، هنگام بررسیِ یک کمپین فیشینگِ پیامکی به نام RuMMS که هدف‌هایی از اروپا با سیستم عامل اندروید را هدف قرار می‌داد، متوجه سه کمپینِ فیشینگِ پیامکی دیگر شدیم که بنا به گزارش‌ها در دانمارک(فوریه ۲۰۱۶)، در ایتالیا(فوریه ۲۰۱۶) و در ایتالیا و دانمارک(آوریل ۲۰۱۶) پخش می‌شدند.

    برخلاف کمپین RuMMS، این سه کمپین در اروپا از تکنیک‌های view overlay،همان تکنیک‌هایی که در بدافزار SlemBunk استفاده شده بود، استفاده کردند تا ورودی‌هایی مشابه با برنامه‌های گوشی برای اطلاعات ورود به نمایش بگذارند، و در ادامه کاربرانی که در جریان نبودند را گول بزنند تا اطلاعات بانکی خود را در اختیارشان قرار دهند.شکل۱ روند این‌که چطور این بدافزارهای پوششی توسط فیشینگِ پیامکی پخش می‌شدند و کاربران اندروید را آلوده می‌کردند را نشان می‌دهد.

عاملان تهدید معمولاً ابتدا سرورهای دستور و کنترل(C2)  و سایت‌های میزبانیِ بدافزار را پیکربندی می‌کنند، سپس بدافزارها را بر روی سایت‌های میزبانی قرار می‌دهند و لینکی که به بدافزار هدایت می‌کند را از طریق SMS برای قربانی می‌فرستند. پس از نصب‌شدن روی دستگاه، بدافزار یک پروسه را برای مانیتور کردن این‌که کدام برنامه در حال اجرا روی صفحه‌ی کاربر(foreground)  است، راه‌اندازی می‌کند. وقتی کاربر یک برنامه‌ی آشنا را روی صفحه اجرا می‌کند که بدافزار برای هدف‌قرار دادنِ آن برنامه طراحی شده است(مثلاً اپلیکیشن بانک)، بدافزار یک view برای فیشینگ در روی آن برنامه به صورت overlay(پوششی) به نمایش در می‌آورد. کاربری که در جریان این حمله نیست، با فرض این‌که از برنامه‌ی معتبری استفاده می‌کند، ورودی‌های مورد نیاز(اطلاعات کارت بانکی) را وارد می‌کند؛ که این اطلاعات به سرور C2 که توسط گردانندگان این ویروس کنترل می‌شود ارسال می‌شوند.

دریافت کامل این گزارش

تصاویر مرتبط
تاریخ انتشار مطلب: 31 مرداد 1395
بازدید ها: 1251