بلاگ

ما نقشه جدید توزیع تروجان بانکی Mamont  (ماموت به زبان روسی) را کشف کرده‌ایم. اسکمرها وعده تحویل محصول خاص به قیمت عمده را دادند که شاید برای کسب و کارهای کوچک و نیز خریداران خصوصی  جذاب به نظر بیاید. آن‌ها نصب اپ اندرویدی را پیشنهاد دادند که با استفاده از آن، بسته رهگیری می‌شود. اما به جای ابزار ردیابی، قربانی تروجانی را نصب می‌کند که می‌تواند اطلاعات بانکی و نوتیف و سایر اطلاعات مالی را سرقت کند.

جزئیات نقشه

مهاجمین ادعا دارند که از طریق تعدادی وبسایت، محصولات مختلف را با قیمتی عالی می‌فروشند. برای خرید، از قربانی خواسته می‌شود تا به چت خصوصی تلگرام مسنجر ملحق شود؛ جایی که دستورالعمل‌هایی برای قرار دادن سفارش آنجا پست می‌شود. در اصل، مهم‌ترین بخش این دستورالعمل‌ها نوشتن پیام شخصی قربانی به مدیر است. خود کانال در واقع آنجاست تا نقشه را قانع‌کننده‌تر جلوه دهد: شرکت‌کنندگان این چت، سوالات واضحی پرسیده، جواب‌هایی می‌گیرند و درباره موضوعات نظر می‌دهند. احتمالاً هم قربانیان دیگری از همین طرح و هم ربات هایی هستند که ظاهر معاملات فعال را در این چت ایجاد می‌کنند. این طرح با این واقعیت معتبرتر می‌شود که کلاهبرداران به هیچ گونه پیش پرداختی نیاز ندارند – قربانی این تصور را پیدا می‌کند که با سفارش دادن، چیزی را به خطر نمی‌اندازد.  اما مدتی پس از صحبت با مدیر و ثبت سفارش، قربانی پیامی مبنی بر ارسال سفارش دریافت کرده و با استفاده از اپلیکیشن مخصوص می‌توان تحویل آن را پیگیری کرد. لینک فایل apk. و شماره پیگیری محموله درج شده است. در این پیام همچنین تاکید شده است که برای پرداخت هزینه سفارش پس از دریافت آن، باید یک شماره پیگیری وارد کنید و تا بارگذاری سفارش منتظر بمانید (که ممکن است بیش از 30 دقیقه طول بکشد).

 این لینک به یک سایت مخرب منتهی می‌شود که پیشنهاد می‌کند یک ردیاب برای بسته ارسال شده بارگیری کند. در واقع، این ردیاب نیست، بلکه بدافزار بانکی Mamont برای اندروید است. پس از نصب، “ردیاب” اجازه می‌دهد تا در پس‌زمینه و همچنین با پوش نوتیف‌ها، پیامک و تماس‌ها کار کند. قربانی باید کدی را که ظاهراً برای ردیابی بسته است وارد کند و منتظر بماند.

این بدافزار چیست و چرا خطر دارد؟

•          در واقع بعد از اینکه قربانی کد رهگیریِ دریافت‌شده را که ظاهراً به عنوان شناساگر قربانی استفاده می‌شود وارد می‌کند، تروجان شروع می‌کند به رهگیری همه پوش نوتیف‌هایی که دستگاه دریافت کرده (به عنوان مثال، کدهای تایید برای تراکنش‌های بانکی) و ارسال آنها را به سرور مهاجمین. در همین زمان، Mamont با سرور مهاجمین ارتباط برقرار می‌کند و منتظر دستورات اضافی می‌ماند. به محض فرمان می‌تواند:
•          نماد برنامه را به یک نماد شفاف تغییر دهد تا از دید قربانی پنهان شود.
•          همه پیامک‌های دریافتی سه روز گذشته را برای مهاجمان ارسال کند.
•          یک رابط برای آپلود عکس از گالری تلفن در سرور مهاجمان باز کند.
•          پیامک به شماره دلخواه ارسال کند.

افزون بر این مهاجمین می‌توانند متن دلخواه را با کادرهایی برای وارد کردن اطلاعات اضافی به قربانی نشان دهند. به این ترتیب آنها می‌توانند قربانی را دستکاری کنند تا اطلاعات بیشتری را ارائه کند، یا به سادگی اطلاعات بیشتری را برای حملات بیشتر با استفاده از مهندسی اجتماعی جمع آوری کنند (مثلاً برای نامه‌های تهدید آمیز از تنظیم کننده‌ها یا سازمان های مجری قانون). احتمالاً به همین منظور عکس ها را از گالری می‌دزدند. این امر به ویژه در صورتی خطرناک است که قربانی صاحب یک کسب و کار کوچک باشد: آنها اغلب از دوربین تلفن خود برای گرفتن سریع عکس از اطلاعات کسب و کار استفاده می‌کنند.

راهکارهای امنیتی ما بدافزارهایی را که در طول این حمله به عنوان Trojan-Banker.AndroidOS.Mamont توزیع شدند شناسایی می‌کند توضیحات فنی دقیق‌تر از بدافزار و همچنین شاخص‌های سازش را می توان در پست وبلاگ اختصاصی Securelist یافت.

هدف این نقشه

هدف این کمپین منحصراً کاربران روس با اسمارت‌فون‌های اندرویدی است. مهاجمین روی این هدف تأکید دارند و تحویل کالا به هر جای دیگر را رد می‌کنند. با این حال ابزارهای مجرمان سایبری اغلب در دارک‌نت به طور رایگان موجودند پس محال است بشود تضمین داد کاربران سایر نقاط جهان از این تهدید مصون‌اند.

راهکارهای امنیتی

توصیه ما این است که برای جلوگیری از آلوده شدن اسمارت‌فونتان به این بدافزار، راهکارهای محافظتی زیر را دنبال کنید. خصوصاً اگر گوشی‌ای که در دست دارید فقط برای نیازهای شخصی‌تان مورد استفاده قرار نمی‌گیرد (برای کار هم از همان استفاده می‌کنید). در ادامه چند قانون امنیتی آورده‌ایم:

• نسبت به پیشنهادات به ویژه مطلوب کالاها و خدمات در اینترنت شک داشته باشید (اگر قیمت به طور قابل توجهی کمتر از قیمت معمول بازار باشد، به این معنی است که فروشنده از طریق دیگری سود می‌برد).

• فایل‌های apk. را که از منابع ناشناخته به دست آمده‌اند اجرا نکنید – آنها باید از فروشگاه‌های رسمی یا از منبع رسمی یک سرویس خاص نصب شوند.

• از یک راهکار امنیتی قابل اعتماد استفاده کنید که از نصب بدافزار بر روی دستگاه شما جلوگیری و لینک‌های مخرب را مسدود می‌کند.

آبادیس (نمایندگی فروش محصولات کسپرسکی)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.