محققان یک خانواده بدافزار جدید اندرویدی را کشف کرده‌اند که می‌تواند داده‌های شخصی و مالی را پس از به خطر انداختن دستگاه‌ها استخراج کند. به گفته محققان، این بدافزار نه‌تنها می‌تواند فرایندهای احراز هویت چندعاملی را دور بزند، بلکه می‌تواند داده‌های بانکی، رمزهای عبور و کیف پول‌های ارزهای دیجیتال را نیز به سرقت ببرد.
شایان‌ذکر است که این بدافزار از طریق وب‌سایت‌های تقلبی توزیع می‌شود و قربانیان را فریب می‌دهد تا آن را دانلود کنند، زیرا فکر می‌کنند اینیک برنامه محبوب ردیابی ارزهای دیجیتال است. همچنین از طریق smishing توزیع می‌شود. علاوه بر این، محققان دو سایت مخرب توزیع‌کنندهMaliBotرا شناسایی کرده‌اند. یکی از آنها نسخه جعلیTheCryptoAppاست که دارای بیش از یک میلیون دانلود در فروشگاه Google Play است.
جزئیاتMaliBot
محققان بدافزار اندروید راMaliBotنام‌گذاری کرده اند. این بدافزار قدرتمند که به‌عنوان یک برنامه استخراج ارز دیجیتال پنهان شده است ممکن است وانمود کند که یک برنامه دیگریایک مرورگر کروم است. هنگام دانلود از کاربر برای نظارت بر دستگاه و انجام عملیات مخرب آن، مجوزهای دسترسی و راه‌اندازی می‌خواهد.
MaliBotاز اجرای سرور مجازی شبکه محاسباتی (VNC) برای به‌دست‌آوردن کنترل دستگاه‌های آلوده استفاده می‌کند. هنگامی که دستگاهی را آلوده می‌کند، شروع به استخراج داده‌های مالی می‌کند و PII (اطلاعات قابل‌شناسایی شخصی) و اطلاعات کیف پول ارزهای دیجیتال را می‌دزدد. تحقیقات نشان داد که سرور C2 این بدافزار در روسیه مستقر است و سرورها همان سرورهایی هستند که قبلاً برای توزیع بدافزارSalityاستفاده می‌شدند. از ژوئن 2020، IP برای راه‌اندازی کمپین‌های مختلف بدافزار استفاده شد.
قابلیت‌هایMaliBot
•MaliBotدارای قابلیت‌های متنوعی است، از جمله اینکه از تزریق وب پشتیبانی می‌کند و می‌تواند در حملات همپوشانی استفاده شود. می‌تواند برنامه‌ها را اجرا و حذف کند و داده‌های حساس مانند کدهای MFA، کوکی‌ها، پیام‌های SMS و غیره را بدزدد.
•می‌تواند از راه دور رمزهای عبور را بدزدد و به پیام‌های متنی، اطلاعات کیف پول رمزنگاری، کوکی‌های مرورگر وب، جزئیات بانکی و گرفتن اسکرین‌شات از دستگاه‌های در معرض خطر دسترسی پیدا کند. همچنین می‌تواند حفاظت MFA را دور بزند.
•عمدتاً از API دسترسی به Android سوءاستفاده می‌کند که به آن اجازه می‌دهد بدون درخواست اجازه کاربر یا تعامل، اقدامات خاصی را انجام دهد و همچنان روی دستگاه آلوده باقی بماند. همچنین با تأیید درخواست‌های Google از طریق Accessibility API، فرایندهای 2FA را دور می‌زند و کدهای 2FA را می‌دزدد که بعداً به مهاجم منتقل می‌شوند.
•بدافزار اندرویدMaliBotتازه کشف شده اطلاعات مالی/شخصی را می‌دزدد
وقتی بدافزار از طریق پیامک توزیع می‌شود، می‌تواند استثناها را ثبت کند و خود را به‌عنوان راه‌انداز ثبت کند. دورزدن محافظ‌های اطراف کیف پول‌های کریپتو به مهاجمان اجازه می‌دهد بیت‌کوین و سایر ارزهای دیجیتال را از کیف پول قربانی مرتبط با دستگاه آلوده سرقت کنند.
در نهایت، مانند FluBot، MaliBot می‌تواند پیام‌هایSMS را برای سایر کاربران ارسال کند تا زنجیره عفونت را گسترش دهد. در حال حاضر، این کمپین مشتریان بانک‌های اسپانیایی و ایتالیایی را هدف قرار می‌دهد، اما دامنه عفونت ممکن است به‌زودی گسترش یابد، محقق آزمایشگاهF5، دور نزار، خاطرنشان کرد.
منبع: cyberpolice.ir