رسانه خبری امنیت اطلاعات

محققان امنیتی به تازگی یک بدافزار امنیتی را کشف کرده‌اند که در دسته‌ی تروجان‌ها قرار داشته و هدف آن آلوده کدرن نسخه‌های ۷ و ۸ سیستم‌عامل اندروید است و از لحاظ ساختاری هم به بدافزارهای LokiBot و Threat Fabric شباهت دارد.

در رابطه با نحوه‌ی عملکرد این بدافزار اعلام شده است که این برنامه در قالب یک برنامه فلش پلیر (Adobe Flash Player) مخاطب را گمراه کرده و از او مجوز‌های دسترسی مورد نیازش را دریافت می‌کند. این تروجان جدید که MysteryBot نام دارد، با استفاده از تکنیک‌های هم‌پوشانی بیش از ۱۰۰ برنامه مختلف از جمله اپلیکیشن‌های بانک‌داری را مورد هدف قرار می‌دهد.

بر اساس بررسی‌های محققان، این بدافزار نمونه‌ی ارتقا یافته‌ی تروجان LokiBot بوده یا در حالت دیگری یکی از بدافزارهای همین خانواده است. علاوه‌بر این قابلیت‌ها، این تروجان از یک تکنولوژی جدید به‌منظور اطمینان از موفقیت در دستگاه‌های اندروید ۷ و ۸ استفاده می‌کند. تکنیک جدیدی که MysteryBot از آن استفاده می‌کند، مجوز «Android PACKAGE_USAGE_STATS» (مجوز استفاده‌ مجدد) را برای از بین‌بردن محدودیت‌ها دستکاری می‌کند و همچنین از «Accessibility Service» برای دریافت مجوزها سوءاستفاده می‌کند.

همچنین MysteryBot با استفاده از روش جدیدی می‌تواند واردکردن ضربات کلید را شناسایی کرده و این گونه عملکرد بهتری را در ثبت اطلاعات کاربر نشان می‌دهد. این بدافزار در کنار تمامی این موارد به قابلیت‌های قفل کننده یا همان باج‌افزاری هم تجهیز شده است و می‌تواند همانند نمونه‌های مشابه، فایل‌های هدف را رمزنگاری کرده و سپس با از دسترس خارج کردن فایل‌های اصلی، به این روش از قربانی سودجویی کند.

این بدافزار هر فایل را در بایگانی ZIP محافظت‌شده با گذرواژه قرار می‌دهد، اما از گذرواژه‌ مشابه برای همه‌ بایگانی‌ها استفاده می‌کند (این کلید در طول زمان اجرا تولید می‌شود). هنگام تکمیل رمزگذاری، این بدافزار، یک گفتگو را نمایش می‌دهد که ادعا می‌کند قربانی، موارد خطرناکی را مشاهده کرده است و از او می‌خواهد تا از طریق پست الکترونیکی، با مهاجم تماس بگیرد.

محققان امنیتی دریافتند که گذرواژه‌ این بدافزار فقط ۸ کاراکتر طول دارد و از حروف الفبای لاتین (حروف بزرگ و کوچک) همراه با عدد استفاده می‌کند. علاوه‌ براین، شناسه‌ اختصاص داده‌شده به هر قربانی، تنها می‌تواند یک عدد بین ۰ و ۹۹۹۹ باشد؛ به این معنی که همان شناسه می‌تواند در واقع به چندین قربانی اختصاص داده شود.

متخصصان فناوری اطلاعات هنگام تجزیه و تحلیل ویژگی‌های باج‌افزاری  MysteryBot، چندین خطا را شناسایی کردند. از آنجایی که گذرواژه‌ این بدافزار فقط ۸ کاراکتر طول دارد به‌راحتی می‌توان آن ‌را با حمله‌ جستجوی فراگیر به‌دست آورد. همچنین، این احتمال وجود دارد که شناسه‌ منحصربه‌فرد داده‌شده به قربانی را بتوان با قربانی جدید با همان شناسه رونویسی کرد. بنابراین، قربانیان قدیم قادر نخواهند بود اطلاعات خود را بازیابی کنند.

به‌نظر می‌رسد Mysterybot یک گام جدید در توسعه‌ نرم‌افزارهای مخرب بانکداری برای اندروید باشد که هم ویژگی‌های مخرب Lokibot و هم ویژگی‌های باج‌افزاری و دریافت ضربات کلید را دارد.