تروجانِ موبایل بانکی ریلتوک با دسترسیِ جهانی

14 مرداد 1398 تروجانِ موبایل بانکی ریلتوک با دسترسیِ جهانی

روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ ریلتوک جزو یکی از چند خانواده‌ی تروجان‌های موبایل بانکی است که دارای کارکردها و روش‌های توزیع استاندارد می‌باشد. در اصل این تروجان، با مخاطبین روسی کار داشت اما بعدها این بانکدار موبایل با کمی اصلاحات وقف‌پذیری‌ بیشتری پیدا کرد و اکنون حتی وارد بازار اروپایی نیز شده است. حجم قربانیان ریلتوک (بیش از 90%) همچنان در روسیه باقیمانده است و فرانسه (با 4% قربانی) در جایگاه دوم قرار دارد. مقام سوم برای ایتالیا، اوکراین و انگلستان است.

ما ابتدا اعضای این خانواده را مارس 2018 شناسایی کردیم. درست مثل سایر تروجان‌های بانکی، این خانواده هم خودش را در قالب اپ‌هایی برای سرویس‌های تبلیغاتی محبوب و رایگان درمی‌آورد. این بدافزار از طریق اس‌ام‌اس در قالب %USERNAME%, I’ll buy under a secure transaction. youlabuy[.]ru/7*****3 یا %USERNAME%, accept 25,000 on Youla youla-protect[.]ru/4*****7 دستگاه‌ها را آلوده می‌کرد و بین آن‌ها توزیع می‌شد. این بدافزار همچنین حاوی لینکی بود که دانلود تروجان ریلتوک را به همراه داشت. نمونه‌های دیگری نیز داشتیم که خود را جای کلاینت‌های یک سرویس بلیت‌یاب یا اپ استوری برای سیستم‌عامل اندروید می‌زدند.

 

 

اواخر سال 2018 بود که ریلتوک جهشی بزرگ کرد و وارد عرصه‌ی بین‌المللی شد. مجرمان سایبری که در حقیقت دست‌های پشت پرده‌ی این تروجان بودند همان پوشش قبلی و روش‌های توزیع را حفظ کرده و سعی داشتند از آیکون‌ها و نام‌هایی استفاده کنند که کارشان تقلید سرویس‌های تبلیغاتی رایگان و محبوب است.

در نوامبر 2018، نسخه‌ای از این تروجان برای بازار انگلیسی‌ها در قالب Gumtree.apk به روی کار آمد. پیام اس‌ام‌اسی با یک لینک به بانکداری که ظاهر این چنینی داشت: %USERNAME%, i send you prepayment gumtree[.]cc/3*****1.

نسخه‌های ایتالیایی (Subito.apk) و فرانسوی (Leboncoin.apk) کمی بعد از این ماجرا ژانویه‌ی 2019 ظاهر شدند. این پیام‌ها به شرح زیر بودند:

  • “%USERNAME%, ti ho inviato il soldi sul subito subito-a[.]pw/6*****5” (It.)
  • “% USERNAME%, ti ho inviato il pagamento subitop[.]pw/4*****7” (It.)
  • “%USERNAME%, je vous ai envoyé un prepaiement m-leboncoin[.]top/7*****3” (Fr.)
  • “%USERNAME%, j’ai fait l’avance (suivi d’un lien): leboncoin-le[.]com/8*****9” (Fr.)

بیایید نگاهی جزئی‌تر به عملکرد این تروجان بانکی بیاندازیم:

آلودگی

کاربر اس‌ام‌اسی با یک لینک آلوده که او را به وبسایت تقلبی (که از سرویس تبلیغاتی محبوب و رایگان تقلید می‌کند) می‌برد دریافت می‌کند. آنجا، کاربر مجبور می‌شود نسخه‌ی جدید این اپ موبایلی را دانلود کند؛ اپی که در واقع در زیر پوشش مظلومانه‌اش تروجانی شرور پنهان است. برای نصب آن قربانی باید ابتدا مجوز نصب اپ‌ها از منابع ناشناخته را (در تنظیمات دستگاه) صادر کند. در طول نصب، ریلتوک با نمایش هشداری جعلی از کاربر می‌خواهد تا از ویژگی‌های خاصی در AccessibilityService استفاده کند.

 

 

اگر کاربر درخواست را نادیده بگیرد و یا آن را رد کند، پنجره مدام باز خواهد شد. این تروجان بعد از گرفتن حقوق مد نظر خود، پیش از اینکه از اسکرین دستگاه پاک شود، خودش را در قالب اپ اس‌ام‌اس پیش‌فرض جا می‌زند (خودش به طور مستقلی در AccessibilityService روی گزینه‌ی yes کلیک می‌کند).

 

 

ریلتوک که حالا نصب شده است و مجوزهای مورد نیازش را نیز از کاربر دریافت کرده است شروع می‌کند به وصل کردن سرور C&C خود. این تروجان در نسخه‌های اخیر خود وقتی شروع به کار می‌کند همچنین یک سایت فیشینگ نیز در مرورگر باز می‌کند؛ این سایت در حقیقت از سرویس تبلیغاتی رایگان تقلید کرده تا بدین‌ترتیب با فریب کاربر، او را مجاب به وارد کردن اطلاعات محرمانه‌‌اش و جزئیات کارت اعتباری‌اش کند. اطلاعات واردشده سپس به مجرمان سایبری فوروارد می‌شود.

 

 

ارتباط با C&C

ریلتوک بی‌وقفه با سرور C&C خود در ارتباط است. اول از همه اینکه با ارسال درخواست GET به آدرس gate.php مربوطه به همراه دو پارامتر آی‌دی و اسکرین، دستگاه آلوده را در پنل ادمین وارد می‌کند.

 

 

سپس با استفاده از درخواست‌های  POST به آدرس report.php مربوطه، اطلاعات مربوط به دستگاه (شامل IMEI، شماره تلفن، کشور، اپراتور موبایل، موجودیت حقوق روت، نسخه‌ی سیستم‌عامل)، فهرست کانتکت‌ها، فهرست اپ‌های نصب‌شده، اس‌ام‌اس‌های ورودی و سایر اطلاعات را ارسال می‌کند. تروجان ریلتوک از سرور فرمان‌هایی (برای مثال برای ارسال اس‌ام‌اس) و تغییراتی در تنظیمات دریافت می‌کند.

آناتومی تروجان

این خانواده بعد از اینکه کتابخانه librealtalk-jni.so حاوی فایل APK تروجان شد ریلتوک نام گرفت. این کتابخانه شامل عملیات‌هایی از قبیل زیر می‌شود:

  • دریافت آدرس از سرور C&C مجرم سایبری.
  • دریافت فایل تنظیمات به تزریقات وبی از  C&C و همچنین فهرست پیش‌فرضی از تزریق‌ها.
  • اسکن برای نام‌ پک‌های اپ که رویدادهای AccessibilityEvent را در فهرستی از اپ‌های محبوب و شناخته‌شده‌ی بانکی/آنتی‌ویروس/غیره تولید می‌کنند.
  • تنظیم بدافزار به عنوان اپ پیش‌فرض اس‌ام‌اس.
  • دریافت ادرس صفحه‌ی فیشینگ که وقتی اپ کار می‌کند باز می‌شود.

 

 

فایل تنظیمات شامل فهرستی می‌شود از فهرستی از تزریقات برای اپ‌های موبایل بانکی- لینک‌هایی به صفحات فیشینگ که با این اپ موبایل بانکی در هماهنگی‌اند (استفاده شده توسط کاربر). نام پک‌ها در بسیاری از نسخه‌های غربی (اینطور صدایشان می‌زنند) این تروجان، در تنظیمات پیش‌فرض فایل پاک می‌شود.

 

 

این بدافزار از طریق AccessibilityService رویدادهای AccessibilityEvent را تحت نظارت قرار می‌دهد. بسته به اینکه کدام اپ (نام پک) رویداد را تولید کرده است، ریلتوک می‌تواند:

  • صفحه‌ی تقلبی گوگل‌پلی باز کند که درخواست جزئیات کارت اعتباری را دارد.
  • صفحه‌ی جعلی یا صفحه‌ی فیشینگی در مرورگر باز کند (تزریق) که کارش تقلید صفحه‌ی اپ موبایل بانکی مربوطه و درخواست اطلاعات کارت‌ بانکی است.
  • اپ را در صفحه Minimize (پایین صفحه بیاندازد). این اپ‌ها می‌توانند آنتی‌ویروس یا تنظیمات امنیتی دستگاه باشند.

علاوه بر این، تروجان ریلتوک می‌تواند نوتیفیکیشن‌ها را از یک سری اپ‌های بانکی مشخص پنهان کند.

 

 

 

وقتی اطلاعات کارت بانکی وارد پنجره‌ی جعلی شد، ریلتوک شروع می‌کند به اعتبارسنجی اولیه: مدت اعتبار کارت، تعداد سرجمع‌ها[1]، طول CVC و اینکه آیا این شماره در فهرست سیاه متصل به کد تروجان است یا نه:

 

 

در حال حاضر (دست کم تا همین الان که این مقاله دارد به شما ارائه می‌شود) عملکرد بیشتر نسخه‌های غربی ریلتوک در مقایسه با نسخه‌های روسی کاهش یافته است. برای مثال، فایل تنظیمات پیش‌فرض (به همراه تزریق‌ها) دیگر اجرایی نیست و این بدافزار اکنون هیچ ویندوز درون‌سازه‌ایِ جعلی که درخواست اطلاعات کارت بکند در خود ندارد.

جمع‌بندی

بهتر است از بروز تهدیدها پیشگیری کرد تا اینکه بگذاریم رخ دهند و بعد برای پیدا کردن چاره‌ای برای رفعشان به تقلا بیافتیم. بنابراین توصیه‌ی ما به شما این است که لینک‌های مشکوک در اس‌ام‌اس را دنبال نکنید و مطمئن شوید اپ‌ها را تنها از منابع رسمی‌شان نصب می‌کنید. همچنین چک کنید کدام مجوزها را در طول نصب می‌دهید. همینطور که در ریلتوک دیدیم، مجرمان سایبری می‌توانند همین روش‌های تزریق آلودگی را روی سایر کشورها نیز پیاده کنند (که کم و بیش هم در این امر موفق بوده‌اند).

محصولات کسپرسکی تمام تهدیدهای فوق را می‌توانند شناسایی کنند.

IoCs

C&C

  •         100.51.100.00
  •         108.62.118.131
  •         172.81.134.165
  •         172.86.120.207
  •         185.212.128.152
  •         185.212.128.192
  •         185.61.000.108
  •         185.61.138.108
  •         185.61.138.37
  •         188.209.52.101
  •         5.206.225.57
  •         alr992.date
  •         avito-app.pw
  •         backfround2.pw
  •         background1.xyz
  •         blacksolider93.com
  •         blass9g087.com
  •         brekelter2.com
  •         broplar3hf.xyz
  •         buy-youla.ru
  •         cd78cg210xy0.com
  •         copsoiteess.com
  •         farmatefc93.org
  •         firstclinsop.com
  •         holebrhuhh3.com
  •         holebrhuhh45.com
  •         karambga3j.net
  •         le22999a.pw
  •         leboncoin-bk.top
  •         leboncoin-buy.pw
  •         leboncoin-cz.info
  •         leboncoin-f.pw
  •         leboncoin-jp.info
  •         leboncoin-kp.top
  •         leboncoin-ny.info
  •         leboncoin-ql.top
  •         leboncoin-tr.info
  •         myyoula.ru
  •         sell-avito.ru
  •         sell-youla.ru
  •         sentel8ju67.com
  •         subito-li.pw
  •         subitop.pw
  •         web-gumtree.com
  •         whitehousejosh.com
  •         whitekalgoy3.com
  •         youlaprotect.ru

نمونه‌هایی از بدافزار

  •         0497b6000a7a23e9e9b97472bc2d3799caf49cbbea1627ad4d87ae6e0b7e2a98
  •         417fc112cd0610cc8c402742b0baab0a086b5c4164230009e11d34fdeee7d3fa
  •         54594edbe9055517da2836199600f682dee07e6b405c6fe4b476627e8d184bfe
  •         6e995d68c724f121d43ec2ff59bc4e536192360afa3beaec5646f01094f0b745
  •         bbc268ca63eeb27e424fec1b3976bab550da304de18e29faff94d9057b1fa25a
  •         dc3dd9d75120934333496d0a4100252b419ee8fcdab5d74cf343bcb0306c9811
  •         e3f77ff093f322e139940b33994c5a57ae010b66668668dc4945142a81bcc049
  •         ebd0a8043434edac261cb25b94f417188a5c0d62b5dd4033f156b890d150a4c5
  •         f51a27163cb0ddd08caa29d865b9f238848118ba2589626af711330481b352df

 

[1] checksum

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکي نام دارد.

محصولات مرتبط

  • Kaspersky Internet Security for Android

    امنیت پیشرفته‌ای که همیشه همراه شماست بخش مهمی از زندگی اکثر ما اکنون روی گوشی‌ها و تبلت‌هاست- پس به امنیت موبایلی نیاز دارید که شما را همیشه امن نگه ...

    7,238,100 ریال
    خرید
  • Kaspersky Cloud Password Manager

    Kaspersky Cloud Password Manager ابزار مدیریت کلمه عبور ابری کسپرسکی (KCPM) ضمن ذخیره ایمن تمامی کلمات عبور مورد استفاده شما برای وبسایت‌ها، اپلیکیشن‌ها، و شبکه‌های اجتماعی آنها را در تمامی ...

    10,860,600 ریال
    خرید
  • Kaspersky Safe Kids

    اپلیکیشن همه‌کاره برای فرزندپروریِ دیجیتال و سلامت خانواده نرم افزار امنیت کودکان کسپرسکی، نظارت‌های والدین را آسان می‌کند. ردیابی مکان و عادات دستگاه، محدودسازی محتوا، متعادل‌سازی ...

    1,086,060 ریال10,860,600 ریال
    خرید
  • Kaspersky Security Cloud Personal

    تمام اپ‌های امنیتیِ ما در دستانتان. به کل خانواده‌ی اپ‌های ما برای دسکتاپ و موبایل دسترسی پیدا کنید. از آنتی‌ویروس گرفته تا ابزارهای حریم خصوصی و اجرایی، هر کدام را به میل ...

    72,443,100 ریال
    خرید
  • Kaspersky Standard

    سیستم امنیتی بهبودیافته به همراه تقویت‌کننده عمکرد دستگاه طرح امنیتی استاندارد ما، نه تنها سیستم امنیتی قدرتمندی را برای انواع ویروس‌ها، بدفزارها و باج‌افزارها ارائه می‌دهد ...

    10,246,500 ریال20,493,000 ریال
    خرید
  • Kaspersky Plus

    امنیت. کارایی. حریم خصوصی. همه در یک برنامه با کاربری آسان کسپرسکی پلاس با ارائه امنیت سایبری نسل بعد، شما در برابر ویروس‌ها، باج‌افزارها و بدافزارهای جدید محافظت کند - بدون ...

    14,693,550 ریال29,387,100 ریال
    خرید
  • Kaspersky Premium

    حفاظت کامل از دستگاه ها، حریم خصوصی و هویت شما با محصول Kaspersky Premium تمام نیازهای امنیتی خود و خانواده‌تان را پوشش دهید. حفاظت پیشرفته ...

    15,718,200 ریال31,436,400 ریال
    خرید
  • Kaspersky Small Office Security

    محافظت در حین کار Kaspersky Small Office Security به طور خاص برای سازمان‌هایی طراحی شده است که 5 تا 50 دستگاه کامپیوتر در خود جای داده‌اند. نصب آن بسیار آسان است؛ مدیریت آن ...

    65,201,550 ریال130,403,100 ریال
    خرید
  • Kaspersky Small Office Security

    امنیت ادارات کوچک

    208,649,100 ریال
    خرید
  • Kaspersky Small Office Security

    امنیت ادارات کوچک

    78,242,550 ریال156,485,100 ریال
    خرید
  • Kaspersky Small Office Security

    250,670,100 ریال
    خرید
  • Kaspersky Small Office Security

    91,283,550 ریال182,567,100 ریال
    خرید
  • Kaspersky Small Office Security

    291,966,600 ریال
    خرید
  • Kaspersky Small Office Security

    104,324,550 ریال208,649,100 ریال
    خرید
  • Kaspersky Small Office Security

    333,987,600 ریال
    خرید
  • Kaspersky Small Office Security

    117,365,550 ریال234,731,100 ریال
    خرید
  • Kaspersky Small Office Security

    375,284,100 ریال
    خرید
  • Kaspersky Small Office Security

    119,539,050 ریال239,078,100 ریال
    خرید
  • Kaspersky Small Office Security

    382,529,100 ریال
    خرید
  • Kaspersky Small Office Security

    168,442,800 ریال336,885,600 ریال
    خرید
  • Kaspersky Small Office Security

    539,021,100 ریال
    خرید
  • Kaspersky Small Office Security

    217,346,550 ریال434,693,100 ریال
    خرید
  • Kaspersky Small Office Security

    695,513,100 ریال
    خرید
  • Kaspersky Small Office Security

    262,627,800 ریال525,255,600 ریال
    خرید
  • Kaspersky Small Office Security

    840,413,100 ریال
    خرید
  • Kaspersky Small Office Security

    498,090,300 ریال996,180,600 ریال
    خرید
  • Kaspersky Small Office Security

    1,593,893,100 ریال
    خرید

نظر خودتان را ارسال کنید


کاربر گرامی چنانچه تمایل دارید، نقد یا نظر شما به نام خودتان در سایت ثبت شود، لطفاً وارد سایت شوید.
*نظر
کلیه حقوق مادی و معنوی این سایت محفوظ و متعلق به شرکت گسترش خدمات تجارت الکترونیک ایرانیان است و هر گونه کپی برداری از آن پیگرد قانونی دارد