By | 26 فروردین 1401
0 Comment

حداقل شش برنامه مختلف با بیش از 15000 بار دانلود از فروشگاه Google Play در حال انتشار بدافزار Sharkbot بودند.

بدافزار Sharkbot اعتبار و اطلاعات حساب بانکی را می‌دزدد.

هنگام جستجوی برای یک آنتی ویروس (AV) برای محافظت از تلفن همراه خود، آخرین چیزی که انتظار می رود این است که دستگاه شما را در برابر بدافزار آسیب پذیر کند. در واقعیت، کاربران یک دزد اندرویدی به نام Sharkbot را دانلود و نصب می کنند.

بدافزار Sharkbot از الگوریتم تولید دامنه (DGA)* استفاده می کند، جنبه ای که به ندرت در دنیای بدافزارهای اندرویدی استفاده می شود.

بدافزار Sharkbot قربانیان را فریب می دهد تا اطلاعات کاربری خود را در پنجره هایی وارد کنند که حاوی فرم های نامعتبر است. هنگامی که کاربر اطلاعات خود را در این پنجره ها وارد می کند، داده ها به یک سرور مخرب ارسال می شود. بدافزار Sharkbot هر قربانی بالقوه ای را که با آن روبرو می شود هدف قرار نمی دهد، بلکه قربانیان را انتخاب می کند و از ویژگی geofencing برای شناسایی و نادیده گرفتن کاربران چین، هند، رومانی، روسیه، اوکراین و بلاروس استفاده می کند.

بدافزار Sharkbot تحت عنوان برنامه های آنتی ویروس در فروشگاه Google Play پنهان شده است.

محققان CPR در مجموع شش برنامه مختلف را در فروشگاه Google Play مشاهده کردند که Sharkbot را پخش می کردند.

چهار برنامه از سه حساب توسعه دهنده ها به نام های Zbynek Adamcik، Adelmio Pagnotto و Bingo Like Inc از گوگل پلی حذف شد، اما همچنان در بازارهای غیر رسمی وجود دارد. این می تواند به این معنی باشد که عامل تهدید در پشت این برنامه ها تلاش می کند در حالی که هنوز درگیر فعالیت های مخرب است، زیر رادار بماند. به طور کلی، ما شاهد بیش از 15000 بارگیری از این برنامه ها از Google Play بودیم.

بدافزار Sharkbot

توصیه جدی به کاربران اندروید:

-برنامه ها را فقط از ناشران مطمئن و تأیید شده دانلود و نصب نمایید.

-اگر برنامه‌ای از ناشر جدیدی می‌بینید، معادل آن را از ناشران مورد اعتماد بیابید.

-هر برنامه به ظاهر مشکوکی را که با آن روبرو می شوید به Google گزارش دهید.

 

 

* DGA یا Domain Generation Algorithms یا الگوریتم‌های تولید دامنه؛ الگوریتم‌هایی هستند که در خانواده‌های مختلف بدافزار دیده می‌شوند و برای تولید دوره‌ای تعداد زیادی نام دامنه مورد استفاده قرار می‌گیرند. می‌توانند به عنوان نقاط دسترسی به سرورهای خود استفاده شوند. تعداد زیاد این نقاط، بستن موثر بات‌نت‌ها را دشوار می‌کند، زیرا رایانه‌های آلوده هر روز سعی می‌کنند با برخی از این نام‌های دامنه تماس بگیرند تا به‌روزرسانی‌ها یا دستورات را از آن ها دریافت کنند.

 

 

منبع: checkpoint.com

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *