ITanalyze

بیشترِ تروجان‌های بانکیِ موبایل وقتی به گوشی نفوذ کردند، سعی می‌کنند به پیام‌های SMS دسترسی پیدا نمایند. آن‌ها این کار را برای جدا کردن و مختل‌سازیِ کدهای تأییدیه‌ی یکبار مصرف از سوی بانک‌ها انجام می‌دهند. صاحبان این بدافزار -که حالا به چنین کدی مجهزند- می‌توانند پرداخت انجام داده و یا بدون اینکه روح قربانی هم از این ماجرا خبر داشته باشد، پول‌هایش را از کارت او بالا بکشند. در عین حال، بسیاری از تروجان‌های موبایل برای آلوده کردن هر چه بیشترِ دستگاه‌ها از پیام‌های متنی برای ارسال لینک دانلودی مخرب به کانتکت‌های قربانی استفاده می‌کنند. برخی اپ‌های آلوده حتی از میزان بیشتری از خلاقیت نیز برخوردار هستند و از دسترسی SMS برای توزیع سایر چیزها به نام شما (از جمله پیام‌های متنی توهین‌آمیز و زشت) استفاده می‌کنند. بدافزار Ginp که اولین بار پاییز گذشته شناسایی شد حتی می‌تواند روی گوشی قربانی پیام‌های دریافتی بسازد؛ پیام‌هایی که در واقع هیچ کسی نفرستاده است (و این تنها به پیام متنی خلاصه نمی‌شود). این تازه اول ماجراست، با ما همراه بمانید.

از دست تروجان موبایل Ginp چه کارهایی برمی‌آید؟
اول از همه اینکه، Ginp برای یک تروجان بانکی بودن در حد استاندارد خود مهارت داشت. این تروجان تمام کانتکت‌های قربانی را دو دستی تقدیم سازندگانش کرد؛ جریان پیام‌های متن را قطع نمود؛ داده‌های کارت اعتباری را سرقت کرد؛ و اپ‌های بانکی را با پنجره‌های فیشینگ پوشانید.
در مورد نکته‌ی آخر باید خدمتتان عرض کنیم این بدافزار از بخش Accessibility سوءاستفاده کرد؛ مجموعه‌ای از قابلیت‌های اندروید برای کاربرانی که دچار نقص در بینایی هستند. این خیلی هم روش نامعمولی نیست؛ تروجان‌های بانکی و سایر انواع بدافزار از این جهت از چنین قابلیت‌هایی استفاده می‌کنند که بتوانند به هر چیزی روی نمایشگر دسترسی بصری داشته باشند و نیز قادر باشند حتی روی دکمه‌ها یا لینک‌ها ضربه بزنند- یعنی آن‌ها عملاً می‌توانند کنترل گوشی شما را به طور کل در دست گیرند.
اما نویسندگان Ginp کارشان را همینجا متوقف نکردند؛ آن‌ها مدام انبارخانه‌اش را با مهمات جدید (قابلیت‌های تازه) پر می‌کردند. به عنوان مثال، این بدافزار شروع کرد به استفاده از نوتیفیکیشن‌ها و پیام‌های پاپ‌آپ‌شده تا بتواند کاری کند قربانی برخی اپ‌ها را برایش باز کند- آن‌ دسته از اپ‌هایی که می‌توانست با پنجره‌های فیشینگ رویشان را بپوشاند. کلمات داخل این نوتیفیکیشن‌ها با هوشمندی تنظیم شده بودند؛ طوری که کاربر یک‌جورهایی خام شود و انتظار داشته باشد فرم بانکی برای پر کردن اطلاعات کارت را ببیند.
در زیر برایتان مثالی آورده‌ایم (به اسپانیایی):
گوگل‌پی: Nos faltan los detalles de su tarjeta de crédito o débito. Utilice Play Store para agregarlos de manera segura.
(گوگل پی: جزئیات کارت اعتباری یا کارت بدهی شما در دسترس ما نیست؛ لطفاً از اپِ پلی‌استور برای افزودن مطمئنِ این جزئیات استفاده کنید).
در اپ Play Store، کاربران فرمی برای وارد کردن اطلاعات کارت (همانطور که انتظار می‌رفت) مشاهده می‌کنند. با این حال، این همان تروجان است که دارد فرم را نشان می‌دهد نه گوگل‌پلی- و داده‌های ورودی مستقیم می‌رسد به دست مجرمان سایبری.
Ginp یک قدم فراتر از  Play Store گذاشته و همچنین نوتیفیکیشن‌هایی به ظاهر از سوی اپ‌های بانکی به شما نشان می‌دهد:
B**A: Actividad sospechosa en su cuenta de B**A. Por favor, revise las ultimas transacciones y llame al 91 *** ** 26.
(B**A: فعالیت مشکوک روی اکانت  B**A شما شناسایی شد. لطفاً آخرین تراکنش‌های خود را چک کرده و با 91 *** ** 26 تماس بگیرید).
نوتیفیکیشن‌های جعلی (کنجکاوانه) شماره تلفن واقعی‌ای مخصوص بانک ارائه می‌دهند. بنابراین اگر به آن شماره زنگ زنید، صدای آن طرف خط احتمالاً چنین گزارش می‌دهد که حال اکانت‌تان خوب است. اما اگر پیش از تماس گرفتن با شماره بانک، به تراکنش‌های مشکوک خود نگاهی بیاندازید، خواهید دید که بدافزار اپ بانکی را با پنجره‌ای علی پوشانده و از شما طلب اطلاعات کارت می‌کند.

پیام‌های SMS جعلی اما قانع‌کننده
اوایل ماه فوریه، سیستم پیگیری حمله بات‌نت[1] ما ویژگیِ دیگری در Ginp شناسایی کرد: توانایی در ساخت پیام‌های متنی دریافتیِ جعلی. هدف مثل سابق است- مجاب کردن کاربر برای باز کردن اپ. اما این بار، تروجان می‌تواند پیام‌های اس‌ام‌اس را با هر متنی و ظاهراً از سوی هر فرستنده‌ای تولید نماید. هیچ‌رقمه نمی‌توان جلوی مهاجمین را برای ساختن پیام‌ها از سوی بانک یا گوگل گرفت.
برخلاف نوتیفیکیشن‌ها که کاربران اغلب بدون آنکه نگاه کنند آن‌ها را رد می‌کنند، پیام‌های اس‌ام‌اسی دریافتی دیر یا زود خوانده می‌شوند. این بدان‌معناست که شانس خوبی وجود دارد هر کاربری اپ را برای چک کردن اینکه در اکانتش چه اتفاقی می‌افتد باز کند. و درست همینجاست که این تروجان با فرم جعلی اطلاعات بانکی وارد میدان می‌شود.

چطور از خطرات Ginp در امان بمانیم؟
در حال حاضر، Ginp بیشتر دارد از اسپانیا قربانی می‌گیرد اما تاکتیک‌هایش همین الان هم یک باری تغییر پیدا کرده است؛ قبلاً دو کشور لهستان و انگلیس هم مورد حمله‌ی این تروجان قرار گرفته بودند. بنابراین اگر جای دیگری زندگی می‌کنید همیشه این چند قانون پایه‌ی امنیت سایبری را به یاد داشته باشید:
•    اپ‌ها را تنها از گوگل‌پلی دانلود نمایید.
•    هیچ برنامه‌ای را از منابع ناشناخته در تنظیمات اندروید نصب نکنید یا اگر دیدید در حال نصب است آن را بلاک کنید. با این کار شانس دریافت اپ‌های آلوده به مراتب کمتر خواهد شد.
•    لینک‌های داخل پیام‌های متنی را خصوصاً اگر پیام به هر نحوی مشکوک به نظر رسید دنبال نکنید- اگر احیاناً دوستی به طور غیرمنتظره به شما لینک عکس داد (به جای ارسال عکس در بدنه‌ی پیام و یا فرضاً در اپ رسانه اجتماعی).
•    به هیچ اپی مجوزهای Accessibility (حتی اگر درخواست کردند) ندهید- برنامه‌های کمی آن بیرون هستند که واقعاً به چنین مجوزهای نیرومندی احتیاج دارند.
•    حواستان به اپ‌هایی که می‌خواهند به متن‌های شما دسترسی پیدا کنند باشد.
•    راهکار امنیتی مطمئنی را روی گوشی خود نصب کنید. بعنوان مثال، Kaspersky Internet Security for Android بدون فوت وقت Ginp و بسیاری از تهدیدهای دیگر را شناسایی می‌کند.
 
[1] Botnet Attack Tracking system
 
منبع: کسپرسکی آنلاین

 تنظیم: روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛