به گزارش خبرنگار حوزه دنیای ارتباطات گروه فضای مجازی باشگاه خبرنگاران جوان، به نقل از bleepingcomputer، بدافزارهای کشف شده از نظر ساختار کد و استفاده از سرور مشترک کنترل و فرمان، به تروجان بانکی Anubis شباهت دارند. این بدافزار در دو سال گذشته دستگاه‌های اندرویدی را هدف قرار داده است.

این دو برنامه Currency Converter و BatterySaverMobi نام دارند. نکته قابل توجه درباره این برنامه‌ها، توانایی استفاده از سنسور حرکتی برای تشخیص اجرا در یک sandbox تحلیل بدافزار است که در این صورت رفتار مخرب آن‌ها متوقف خواهد شد. با کمک یک صفحه به‌روزرسانی سیستمی جعلی، این دو برنامه سعی در اخذ امتیازات و دسترسی‌های سطح ادمین دارند.

منتقل‌کننده داخلی بدافزار، با درخواست‌های Twitter یا Telegramبا سرور C&C خود تماس می‌گیرد و با استفاده از درخواست‌های HTTP POST خواستار دستورات جدید می‌شود. سپس سرور C&C لینک دانلود برنامه‌ای را ارسال خواهد کرد که توسط منتقل‌کننده بر روی دستگاه نصب می‌شود.

هنگامی که تروجان بانکی Anubis روی دستگاه قربانی قرار گیرد، شروع به جمع‌آوری اطلاعات بانکی با استفاده از یک ماژول کلیدنگار داخلی می‌کند و یا با گرفتن عکس از صفحه‌نمایش، هنگام ورود اطلاعات به برنامه‌های بانکی، اطلاعات را به سرقت می‌برد. تروجان Anubis برای حمله به ۳۷۷ برنامه مختلف بانکی از ۹۳ کشور در سراسر جهان و همچنین برنامه‌های غیربانکی مانند Amazon،eBay و PayPal مورد استفاده قرارگرفته است.

علاوه بر علاقه به جمع‌آوری اطلاعات بانکی، این گونه بدافزارها دارای قابلیت‌های دیگری از قبیل توانایی‌های باج‌افزاری، تروجان (مانند ضبط صدا، ردیابی موقعیت مکانی)، ارسال پیامک‌های اسپم و تماس با شماره‌های خاص هستند. قسمت باج‌افزاری، فایل‌ها را رمزگذاری می کند و دنباله .Anubiscrypt را به آن‌ها اختصاص می‌دهد. نکته مهم این است که این رمزگذاری روی گوشی انجام می‌شود که احتمال وجود نسخه پشتیبان فایل‌ها در آن کمتر و احتمال وجود اطلاعات باارزش و عکس‌های شخصی در آن بیشتر است.

وجود برنامه‌های آلوده در Google Play نشاندهنده مهارت عاملان این برنامه‌ها است که با موفقیت بدافزار خود را از لایه‌های دفاعی Google Play مخفی می‌کنند.

نشانه‌های آلودگی (IoC):
هش (SHA۲۵۶):
• b۰۱۲eb۵۵۳۸ad۱d۵۶c۵bdf۹fe۹۵۶۲۷۹۱a۱۶۳dffa۴
• bc۸۷c۹fffcdac۴eea۱b۸۴c۶۲۸۴۲ce۱۱۳۸fd۹۰ed۶
• ۷e۰۲۵e۲۱d۴۴۵be۹b۶b۱۲a۹۱۸۱ada۴bab۳db۵۸۱۹c
• e۲۹c۸۱۴c۲۵۲۷ebbac۱۱۳۹۸۸۷۷beea۲bc۷۵b۵۸ffd
• ۱۶fc۹bc۹۶f۵۸ba۳۵a۰۴ade۲d۹۶۱b۰۱۰۸d۱۳۵caa۵
سرور فرمان و کنترل:
• areadozemode.space
• selectnew۲۵mode.space
• twethujsnu.cc
• project۲anub.xyz
• taiprotectsq.xyz
• uwannaplaygame.space
• projectpredator.space
• nihaobrazzzahit.top
• aserogeege.space
• hdfuckedin۱۸.top
• dingpsounda.space
• wantddantiprot.space
• privateanbshouse.space
• seconddoxed.space
• firstdoxed.space
• oauth۳.html۵۱۰۰.com
• dosandiq.space
• protect۴juls.space
• wijariief.space
• scradm.in

انتهای پیام/