أصبح مجرمو الإنترنت أكثر مهارة وإبداعًا وتخفيًا مع مرور كل يوم. لقد تحولوا الآن من التقنيات التقليدية إلى المزيد من السرية التي تأتي مع ناقلات هجوم لا حدود لها ويصعب اكتشافها.
اكتشف باحثون أمنيون أن واحدة من أخطر عائلات طروادة المصرفية للأفراد في Android تم تعديلها الآن لإضافة كيلوغغر إلى سلالتها الأخيرة ، مما يمنح المهاجمين طريقة أخرى لسرقة البيانات الحساسة للضحايا.
كاسبرسكي لاب المحلل البرمجيات الخبيثة كبار الرومانية Unuchek رصدت البديل الجديد من طروادة المصرفية الروبوت معروفة، يطلق عليها اسمSvpeng ، في منتصف الشهر الماضي مع ميزة كلوغر الجديدة، التي تستفيد من خدمات المعاقين الروبوت.
طروادة Exploits 'خدمات الوصول إلى إضافة كيلوغغر
نعم ، فإن keylogger المضافة في الإصدار الجديد من Svpeng تستفيد من خدمات الوصول - وهي ميزة Android توفر للمستخدمين طرقًا بديلة للتفاعل مع أجهزتهم الذكية.
هذا التغيير يجعل Svpeng Trojan قادراً ليس فقط على سرقة النص الذي تم إدخاله من التطبيقات الأخرى المثبتة على الجهاز وتسجيل جميع ضغطات المفاتيح ، ولكن أيضًا لمنح المزيد من الأذونات والحقوق لمنع الضحايا من إلغاء تثبيت Trojan.
في تشرين الثاني (نوفمبر) من العام الماضي ، أصابت مجموعة طروادة المصرفية Svpeng أكثر من 318000 جهاز Android في جميع أنحاء العالم على مدى شهرين فقط بمساعدة إعلانات Google AdSense التي أسيء استخدامها لنشر طروادة المصرفية الخبيثة.
قبل أكثر من شهر ، اكتشف الباحثون أيضًا هجومًا آخر يستفيد من خدمات إمكانية الوصول في Android ، والتي يطلق عليها هجوم Cloak و Dagger ، والتي تتيح للقراصنة التحكم بصمت تام في الأجهزة المصابة وسرقة البيانات الخاصة.
إذا كنت روسيًا ، فأنت آمن!
على الرغم من أن النسخة الجديدة من برنامج Svpeng غير منتشرة على نطاق واسع ، إلا أن البرمجيات الخبيثة قد أصابت المستخدمين في 23 دولة على مدار الأسبوع ، بما في ذلك روسيا وألمانيا وتركيا وبولندا وفرنسا.
ولكن ما يجدر الانتباه إليه هو أنه على الرغم من أن معظم المستخدمين المصابين هم من روسيا ، إلا أن الشكل الجديد من Svpeng Trojan لا يقوم بإجراءات ضارة على هذه الأجهزة.
وفقًا لـ Unuchek ، بعد إصابة الجهاز ، تقوم Trojan أولاً بالتحقق من لغة الجهاز. إذا كانت اللغة روسية ، فإن البرمجيات الخبيثة تمنع المزيد من المهام الخبيثة - وهذا يشير إلى أن المجموعة الإجرامية وراء هذه البرمجيات الخبيثة هي الروسية ، التي تتجنب انتهاك القوانين الروسية عن طريق اختراق السكان المحليين.
كيف "Svpeng" طروادة يسرق أموالك
يقول Unuchek أن أحدث نسخة من Svpeng التي رصدها في يوليو تم توزيعها من خلال مواقع خبيثة تنكرت على أنها مشغل Flash مزيف.
بمجرد تثبيته ، كما ذكرت أعلاه ، يقوم البرنامج الضار أولاً بالتحقق من لغة الجهاز ، وإذا لم تكن اللغة الروسية ، يطلب من الجهاز استخدام خدمات Accessibility ، التي تفتح الجهاز المصاب بعدد من الهجمات الخطيرة.
من خلال الوصول إلى خدمات إمكانية الوصول ، تمنح Trojan حقوق مسؤول الجهاز ، وتعرض تراكبًا أعلى التطبيقات المشروعة ، وتثبت نفسها كتطبيق SMS افتراضي ، وتمنح نفسها بعض الأذونات الديناميكية ، مثل القدرة على إجراء المكالمات وإرسالها و تلقي الرسائل القصيرة ، وقراءة جهات الاتصال.
بالإضافة إلى ذلك ، وباستخدام إمكاناتها الإدارية المكتسبة حديثًا ، يمكن لـ Trojan منع كل محاولة من الضحايا لإزالة حقوق مسؤول الجهاز - وبالتالي منع إلغاء تثبيت البرامج الضارة.
باستخدام خدمات إمكانية الوصول ، تكتسب Svpeng الوصول إلى العمل الداخلي للتطبيقات الأخرى على الجهاز ، مما يسمح لـ Trojan بسرقة النص الذي تم إدخاله على تطبيقات أخرى والتقاط لقطات للشاشة في كل مرة تضغط فيها الضحية على زر على لوحة المفاتيح ، والبيانات الأخرى المتاحة.
"بعض التطبيقات ، خاصة تلك المصرفية ، لا تسمح بالتقاط الصور عندما تكون في القمة. في مثل هذه الحالات ، لدى طروادة خيار آخر لسرقة البيانات - فهي تجذب نافذة التصيد على التطبيق المهاجم" ، يقول أونوجوك.
"من المثير للاهتمام أنه ، من أجل معرفة التطبيق الموجود أعلاه ، فإنه يستخدم خدمات إمكانية الوصول أيضًا."
ثم يتم تحميل جميع المعلومات المسروقة إلى خادم الأوامر والتحكم (C & C) للمهاجمين. كجزء من بحثه ، قال Unuchek أنه تمكن من اعتراض ملف تكوين مشفر من خادم C & C للبرامج الضارة.
ساعدت عملية فك تشفير الملف في التعرف على بعض المواقع والتطبيقات التي تستهدفها Svpeng ، بالإضافة إلى مساعدته في الحصول على عنوان URL مع صفحات التصيد الاحتيالي لكل من تطبيقات الهاتف المحمول PayPal و eBay ، بالإضافة إلى روابط لتطبيقات المصرفية من المملكة المتحدة وألمانيا تركيا وأستراليا وفرنسا وبولندا وسنغافورة.
بالإضافة إلى عناوين URL ، يسمح الملف أيضًا للبرامج الضارة باستلام الأوامر المختلفة من خادم C & C ، والتي تتضمن إرسال رسائل قصيرة ، وجمع معلومات مثل جهات الاتصال ، والتطبيقات المثبتة وسجلات المكالمات ، وفتح الرابط الخبيث ، وجمع جميع رسائل SMS من الجهاز ، وسرقة الرسائل الواردة رسالة قصيرة.
قام لوكاس ستيفانكو ، الباحث في البرامج الضارة في ESET ، بمشاركة مقطع فيديو (كما هو موضح أدناه) مع The Hacker News ، مما يدل على عمل هذه البرامج الضارة.
تطور البرمجيات المصرفية "Svpeng" الروبوت
اكتشف الباحثون في شركة "كاسبرسكي لاب" في البداية البرمجيات الخبيثة المصرفية "Svpeng Android" في عام 2013 ، مع القدرة الأولية - Phishing.
مرة أخرى في عام 2014 ، تم تعديل البرنامج الضار لإضافة عنصر رانسومواري الذي يقفل جهاز الضحية (بواسطة مكتب التحقيقات الفيدرالي لأنهم زاروا المواقع التي تحتوي على مواد إباحية) وطلبوا 500 دولار من المستخدمين.
كانت البرمجيات الخبيثة من بين أول البرامج التي بدأت في مهاجمة الخدمات المصرفية عبر الرسائل النصية القصيرة ، واستخدام صفحات ويب التصيد الاحتيالي لتراكب التطبيقات الأخرى في محاولة لسرقة أوراق الاعتماد المصرفية ومنع الأجهزة والمطالبة بالأموال.
في عام 2016 ، كان مجرمو الإنترنت يوزعون Svpeng بنشاط عبر Google AdSense باستخدام ثغرة أمنية في متصفح الويب Chrome ، وإساءة استخدام خدمات إمكانية الوصول الآن ، والتي ربما تجعل من Svpeng أخطر عائلة ضارة في الخدمات المصرفية عبر الهاتف المحمول حتى الآن ، والتي يمكنها سرقة أي شيء تقريبًا — من بيانات اعتمادك على Facebook إلى بطاقات الائتمان والحسابات المصرفية.
كيف تحمي هاتفك الذكي من المتسللين
مع خدمات الوصول فقط ، تكتسب شركة Trojan المصرفية جميع الأذونات والحقوق اللازمة لسرقة الكثير من البيانات من الأجهزة المصابة.
تعمل التقنيات الخبيثة للبرمجيات الخبيثة Svpeng على أجهزة Android التي تم تحديثها بشكل كامل مع أحدث إصدار من Android وجميع تحديثات الأمان المثبتة ، بحيث يمكن للمستخدمين القيام به لحماية أنفسهم.
هناك إجراءات حماية قياسية تحتاج إلى متابعتها للبقاء غير متأثرين:
- يمكنك دائمًا الالتزام بالمصادر الموثوقة ، مثل متجر Google Play ومتجر Apple App ، ولكن فقط من المطورين الموثوق بهم والذين تم التحقق منهم.
- الأهم من ذلك ، تحقق من أذونات التطبيق قبل تثبيت التطبيقات. إذا كان أي تطبيق يطلب أكثر من المقصود به ، فلا تثبته.
- لا تقم بتنزيل التطبيقات من مصادر جهات خارجية ، لأن مثل هذه البرامج الضارة تنتشر في الغالب عبر أطراف ثالثة غير موثوق بها.
- تجنّب نقاط اتصال Wi-Fi غير معروفة وغير آمنة وحافظ على إيقاف تشغيل Wi-Fi في حالة عدم الاستخدام.
- لا تنقر مطلقًا على الروابط المتوفرة في رسالة SMS أو MMS أو بريد إلكتروني. حتى إذا كانت الرسالة الإلكترونية تبدو شرعية ، انتقل مباشرة إلى موقع الويب الأصلي وتحقق من أي تحديثات محتملة.
- ثبّت تطبيقًا جيدًا لمكافحة الفيروسات يمكنه اكتشاف ومنع هذه البرامج الضارة قبل أن تتمكن من إصابة جهازك ، والحفاظ على تحديث التطبيق دائمًا.