بدافزار Aberebot نوعی تروجان بانکی است که قادر به سرقت اطلاعات حساس از جمله داده های مالی و شخصی از دستگاه های آلوده است.
تروجان بانکی Escobar جدیدترین نوع بدافزار Aberebot است.
بدافزار Aberebot از تکنیک های پیشرفته ضد مهندسی معکوس و مبهم سازی برای جلوگیری از شناسایی استفاده می کند. این برنامه مخرب به مجوزهای خطرناکی نیاز دارد که در شکل زیر مشاهده می کنید:
این بدافزار قابلیت های مختلفی دارد، از جمله:
-جمع آوری اطلاعات تماس
-رهگیری OTP ها از دستگاه آلوده
-مدیریت لیست برنامه های نصب شده بر روی دستگاه
-ارسال پیامک به مخاطبین بر اساس دستورات دریافتی از سرور C2
-سرقت اطلاعات حساب های رسانه های اجتماعی و درگاه های بانکی
-نظارت بر دستگاه قربانی با استفاده از BIND_ACCESSIBILITY_SERVICE
-استفاده از API تلگرام برای ارتباط با سرور C&C میزبانی شده در حساب ربات تلگرام
در ماه های گذشته محققان امنیتی اندروید یک بدافزار بانکی جدید به نام Escobar را بررسی کردند. بدافزار Escobar جدیدترین نوع تروجان بانکی Aberebot است.
نوع جدید بدافزار Escobar از یک نام و آیکون مانند یک برنامه معتبر استفاده می کند. این APK مخرب دارای نام بسته “com.escobar.pablo” است.
نویسنده ی آن نسخه بتای بدافزار را به مبلغ 3000 دلار در ماه به حداکثر پنج مشتری اجاره میدهد و آن ها میتوانند به مدت سه روز ربات را به صورت رایگان آزمایش کنند.
توسعه دهندگان بدافزار اعلام کردند که قصد دارند پس از پایان توسعه ی آن قیمت بدافزار را به 5000 دلار افزایش دهند. در برخی انجمن های امنیتی این رقم 7000 دلار هم اعلام شده است.
اولین بار APK مشکوک را در 3 مارس 2022 مشاهده شد که به عنوان یک برنامه McAfee ظاهر شده بود و در برابر اکثریت قریب به اتفاق موتورهای ضد ویروس مخفی بود.
این بدافزار مجوزهای خطرناکی را درخواست می کند، از جمله:
-دسترسی کامل
-مجوز خواندن و نوشتن داده های ذخیره شده
-ارسال پیامک
-دریافت حساب
-غیرفعال کردن صفحه کلید و غیره
همچنین دارای قابلیت هایی برای سرقت اطلاعات حساس مانند مخاطبین، پیامک ها، گزارش تماس ها و محل دستگاه است. این بدافزار علاوه بر ضبط تماسها و صدا، فایلها را حذف میکند، اس ام اس میفرستد، تماس برقرار میکند و بر اساس دستورات دریافتی از سرور C&C از نویسندگان بدافزار، با دوربین عکس میگیرد.
بدافزار Escobar از VNC Viewer برای کنترل از راه دور صفحه نمایش دستگاه آلوده استفاده می کند.
بدافزار تلاش می کند تا کدهای احراز هویت گوگل را به دستور نویسنده بدافزار بدزدد.
همچنین بدافزار Escobar می تواند هر زمان که دستورات را از سرور C&C دریافت کرد خود را از بین ببرد.
بدافزارهای بانکی از تم های مختلفی برای فریب کاربران استفاده می کردند. گاهی دیده شده است که برخی از این اپلیکیشن های بانکی جعلی از آیکون و نام یک برنامه معتبر برای فریب کاربران استفاده می کنند. به عنوان مثال در زیر یک اپلیکیشن جعلی را میبینید که خود را به عنوان اپلیکیشن بانک هندی معتبر جازده است.
این بدافزار میتواند اطلاعات حساب کارت اعتباری بانکی، رمزهایهای بانکی و پیامکها را برای خواندن و ارائه گذرواژههای تولید شده یکبار مصرف از طرف قربانی سرقت کند.
تمامی داده ها قبل از ارسال به سرور C2 رمزگذاری می شوند. این برنامه های مخرب می توانند دستوراتی را بر روی دستگاه قربانی که توسط نویسندگان بدافزار ارسال می شود اجرا کنند. مانند آپلود پیامک، گزارش تماس و غیره. هنگامی که همه پیامک ها در سرور C2 آپلود شدند، بدافزار می تواند تمام پیامک ها را از دستگاه تلفن همراه قربانی حذف کند.
کد حذف پیامک را در زیر مشاهده می کنید:
این بدافزار از تکنیکهای جدیدی برای فریب کاربران با استفاده از آیکون های برنامههای کاربردی معتبر استفاده میکند. این تروجان های بانکی می توانند آسیب زیادی به دستگاه های آلوده وارد کنند. این نوع تروجان های بانکی در انجمن های دارک وب فروخته می شوند و از وب سایت های مختلف و فروشگاه های شخص ثالث برای انتشار استفاده می کنند. کاربران بایستی چنین برنامه هایی را از منابع معتبر دانلود و نصب نمایند.
نکاتی برای ایمن ماندن
-برنامه ها را فقط از منابع قابل اعتماد دانلود کنید.
-روی لینک های دریافت شده از طریق پیام ها یا سایر پلتفرم های رسانه های اجتماعی کلیک نکنید زیرا ممکن است عمدا یا سهوا به سایت های مخرب آلوده باشند.
-قبل از پذیرش و اجازه هر گونه مجوز جدید به برنامه ها، حتما آن ها را بخوانید.
-نویسندگان این بدافزارها از نام ها، آیکون ها و نام توسعه دهندگان برنامه های اصلی برای جعل خود استفاده می کنند. بنابراین، در مورد برنامه هایی که در تلفن خود دانلود می کنید بسیار محتاط باشید.
-برای محافظت بیشتر از تلفن خود، همیشه از یک آنتی ویروس خوب استفاده کنید.
منابع:
quickheal.com
bleepingcomputer.com
screenrant.com