پایگاه خبری راه پرداخت دارای مجوز به شماره ۷۴۵۷۲ از وزارت فرهنگ و ارشاد اسلامی و بخشی از «شبکه عصر تراکنش» است. راه پرداخت فعالیت خود را از دوم اردیبهشتماه ۱۳۹۰ شروع کرده و اکنون پرمخاطبترین رسانه ایران در زمینه فناوریهای مالی، بانکداری و پرداخت و استارتآپهای فینتک است.
ظهور بدافزار جدید بانکداری موبایل / دریافت لیست تماس و ارسال پیامک
مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانهای، نسبت به ظهور بدافزار جدید بانکداری موبایلی اندروید هشدار داد که امکان دریافت لیست اطلاعات تماس و ارسال پیامک به مخاطبان قربانی را دارد.
به گزارش مهر، محققان اخیراً یک تروجان بانکداری جدید کشف کردند که نسخههای ۷ و ۸ اندروید را هدف قرار میدهد و از کارگزار فرمان و کنترل (C & C) مشابه با تروجانهای LokiBot و Threat Fabric استفاده میکند.
این بدافزار، خود را بهعنوان یک برنامه فلش پلیر (Adobe Flash Player) تحمیل میکند و از قربانی میخواهد تا «مجوز دسترسی استفاده» که قابلیتهای نامطلوبی را فراهم میکند، به آن اعطا کند. پسازآن تلاش میکند تا نام بستههای برنامهها را در پیشزمینه نظارت کند. این تروجان جدید که MysteryBot نامیده میشود، با استفاده از همپوشانی، بیش از ۱۰۰ برنامه ازجمله بانکداری تلفن همراه و برنامههای اجتماعی را هدف قرار میدهد.
مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانهای دراینباره اعلام کرد: این بدافزار جدید علاوه بر ویژگیهای عمومی تروجانهای اندرویدی، دارای قابلیتهای تماس با شماره تلفن دادهشده، دریافت لیست اطلاعات تماس، تماسهای انتقالیافته، کپی تمام پیامکها، واردکردن ضربات کلید، رمزگذاری فایلها در ذخیرهسازی خارجی، حذف همه مخاطبین، ارسال پیامک به تمام مخاطبین، تغییر برنامه پیشفرض پیامک، تماس با یک شماره USSD، حذف تمام پیامکها و ارسال پیامک است.
طبق نظریه محققان، این تروجان جدید یا یک بهروزرسانی از تروجان LokiBot و یا یک خانواده جدید بدافزار از همان فعالان تهدید است. این تهدید جدید سایبری، چند تفاوت نسبت به LokiBot دارد. این تفاوتها شامل نام، دستورات بهبودیافته و ارتباطات شبکه اصلاحشده است.
علاوه بر این قابلیتها، این تروجان از یک تکنولوژی جدید بهمنظور اطمینان از موفقیت در دستگاههای اندروید ۷ و ۸ استفاده میکند؛ تکنیک جدیدی که MysteryBot از آن استفاده میکند، مجوز «Android PACKAGE_USAGE_STATS» (مجوز استفاده مجدد) را برای ازبینبردن محدودیتها دستکاری میکند و همچنین از «Accessibility Service» برای دریافت مجوزها سوءاستفاده میکند.
MysteryBot همچنین از روش جدیدی برای واردکردن ضربات کلید استفاده میکند. این بدافزار، محل کلیدهای روی صفحه را محاسبه میکند (در نظر میگیرد که هر کلید، دارای یک موقعیت مکانی روی صفحه است) و مختصات دیگری را روی هر یک از آنها قرار میدهد (عرض و ارتفاع صفر پیکسل) که به او اجازه میدهد تا کلید فشار دادهشده را ثبت کند.
به نظر میرسد که کد این بدافزار همچنان درحالتوسعه است، زیرا هنوز قابلیت ارسال ضربات کلید واردشده به کارگزار C & C را ندارد.
MysteryBot همچنین شامل قابلیتهای قفل کننده باج افزاری است که توسط داشبورد جداگانهای از این تروجان مدیریت میشوند. این تروجان میتواند هر را بهطور جداگانه در پوشه ذخیرهسازی خارجی رمزگذاری کند و سپس فایلهای اصلی را حذف کند.
این بدافزار هر فایل را در بایگانی ZIP محافظتشده با گذرواژه قرار میدهد، اما از گذرواژه مشابه برای همه بایگانیها استفاده میکند (این کلید در طول زمان اجرا تولید میشود). هنگام تکمیل رمزگذاری، این بدافزار، یک گفتگو را نمایش میدهد که ادعا میکند قربانی، موارد خطرناکی را مشاهده کرده است و از او میخواهد تا از طریق پست الکترونیکی، با مهاجم تماس بگیرد.
محققان امنیتی دریافتند که گذرواژه این بدافزار فقط ۸ کاراکتر طول دارد و از حروف الفبای لاتین (حروف بزرگ و کوچک) همراه با عدد استفاده میکند. علاوه، شناسه اختصاص دادهشده به هر قربانی، تنها میتواند یک عدد بین ۰ و ۹۹۹۹ باشد؛ به این معنی که همان شناسه میتواند درواقع به چندین قربانی اختصاص داده شود.
متخصصان فناوری اطلاعات هنگام تجزیهوتحلیل ویژگیهای باج افزاری MysteryBot، چندین خطا را شناسایی کردند. ازآنجاییکه گذرواژه این بدافزار فقط ۸ کاراکتر طول دارد بهراحتی میتوان آنها با حمله جستجوی فراگیر به دست آورد. همچنین، این احتمال وجود دارد که شناسه منحصربهفرد دادهشده به قربانی را بتوان با قربانی جدید با همان شناسه رونویسی کرد؛ بنابراین، قربانیان قدیم قادر نخواهند بود اطلاعات خود را بازیابی کنند.
به نظر میرسد Mysterybot یک گام جدید در توسعه نرمافزارهای مخرب بانکداری برای اندروید باشد که هم ویژگیهای مخرب Lokibot و هم ویژگیهای باج افزاری و دریافت ضربات کلید را دارد.