روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛در اواسط ماه ژوئیه ی 2017، ما یک نمونه ی اصلاح شده از تروجان های بانکی تلفن های همراه را با عنوان Trojan-Banker.AndroidOS.Svpeng.ae یافتیم. در این گونه ی اصلاح شده مجرمان سایبری قابلیت های جدیدی را اضافه کرده اند. Svpeng همانند یک کی لاگر عمل می کند واز طریق خدمات دسترسی می تواند تمام اطلاعات را به سرقت ببرد.

خدمات دسترسی به طور کلی واسط کاربری¹ را برای کاربرانی که نمی توانند به راحتی با دستگاه کار کنند و ارتباط برقرار کنند، افزایش می دهد. عدم توانایی آن ها در برقراری ارتباط می تواند در زمانی باشد که آن ها رانندگی می کنند و قادر به انجام هیچ گونه فعالیتی با دستگاه خود نیستند. سوء استفاده از این ویژگی سیستم به تروجان این اجازه را می دهد که نه تنها به سرقت متن های وارد شده از اپلیکیشن های نصب شده بر روی دستگاه بپردازد، بلکه اجازه ی این را پیدا کند که به مجوزهای بیشتری دسترسی یابد و تلاش هایی که در جهت حذف تروجان انجام می شود را خنثی کند.

اطلاعات حمله نشان می دهد که این تروجان هنوز به طور گسترده ای در حال شیوع نیست. این تروجان در طی یک هفته تعداد کمی از کاربران را مورد حمله ی خود قرار داد اما حمله ی آن ها به 23 کشور اختصاص داده شده بود. بیشتر کاربران مورد حمله در روسیه (29%)، آلمان (27%)، ترکیه (15%)، لهستان (6%) و فرانسه (3%) بوده است. شایان ذکر است که حتی اگر بیشتر حملات مربوط به کاربران روسیه باشد، این تروجان بر روی دستگاه هایی که زبان روسی را اجرا می کنند عمل نخواهد کرد. این یک تاکتیک استاندارد برای مجرمان سایبری روسیه است که به دنبال فرار از شناسایی شدن و دستگیری هستند.

خانواده ی بدافزار  Svpeng کاملا جدید و نوآورانه است. این تروجان از سال 2013 اولین گونه ای بود که اس ام اس های بانکی را مورد حمله ی خود قرار داد و با استفاده از صفحات فیشینگ برنامه های دیگر را برای سرقت اعتبارنامه ها پوشش می داد و همچنین دسترسی دستگاه را می بست و به ازای آن باج طلب می کرد. در سال 2016، مجرمان سایبری Svpeng را از طریق آسیب پذیری در مرورگر کروم توزیع کردند. راه های مختلف شیوع Svpeng باعث شد که این تروجان به یکی از خطرناک ترین خانواده های تروجان های بانکی تبدیل شود و به همین دلیل است که ما نسخه های جدید آن را بررسی می کنیم و مانع ورود آنها می شویم.

فرآیند حمله

پس از آغاز حمله، تروجان Trojan-Banker.AndroidOS.Svpeng.ae زبان دستگاه را بررسی می کند و در صورتیکه زبان روسی نباشد، درخواست را برای اجازه ی دسترسی به سرویس های دستیابی در تلفن همراه ارسال می کند. با استفاده از این امتیاز، خیلی موارد می تواند به ضرر شما تمام شود. در واقع با اجازه ی این دسترسی، این حق به مدیر دستگاه یا در اینجا تروجان داده می شود که هر برنامه ی دیگری را دریافت کند، اپلیکیشن های اس ام اس را به صورت پیش فرض نصب کند، برخی از مجوزهای پویا را که شامل توانایی ارسال و دریافت مسیج، برقراری تماس و خواندن مخاطبین هستند را به خود اختصاص می دهد. علاوه بر این تروجان با توجه به توانایی هایی که دارد می تواند به راحتی هر گونه تلاش را برای حذف حقوق مدیر دستگاه را متوقف کند. جالب است بدانید که حین انجام این کار هرگونه تلاش برای اضافه کردن یا حذف حقوق مدیر دستگاه برای هر برنامه ی دیگری مسدود می شود.

با استفاده از سرویس های دسترسی، تروجان این اجازه را دارد که به واسط کاربری سایر برنامه ها دسترسی یابد و اطلاعات مربوط به آن ها را که شامل عناصر رابط و محتوای آن ها (در صورت موجود بودن ) می شود، بدست آورد. این اطلاعات همچنین می تواند شامل متن وارد شده نیز باشد. علاوه بر این هر بار که کاربرصفحه ی کلید را فشار می دهد، تروجان از آن ها اسکرین شات می گیرد و آن ها را در سرورهای مخرب آپلود می کند. این رفتار نه تنها بر صفحه ی کلید اندروید بلکه در برخی موارد بر صفحه کلید شخص ثالث انجام می شود.

برخی از اپلیکیشن ها عمدتا از نوع بانکی آن ها، اجازه ی گرفتن اسکرین شات در زمانی که آن ها روی صفحه ی شما قرار دارند را ندارند. در چنین مواردی تروجان گزینه ی دیگری را برای سرقت اطلاعات دارد. آن ها از طریق فیشینگ اپلیکیشن ها را مورد حمله قرار می دهند. جالب است که برای یافتن اینکه کدام برنامه روی صفحه قرار دارد از سرویس های دسترسی استفاده می کنند.

از طریق اطلاعاتی که از  Svpeng  از طریق سرور command and control  بدست آمد، ما توانستیم یک فایل پیکربندی رمزنگاری شده را کشف کنیم که پس از رمزگشایی آن قادر به دسترسی به برنامه های حمله بودیم وسپس توانستیم URL صفحات فیشینگ را بیابیم.

چندین برنامه ی آنتی ویروس بودند که تروجان سعی در مسدود و خنثی کردن آن ها داشت. همانند بسیاری از بانکداری های تلفن همراه، Svpeng  می تواند پشت برخی از اپلیکیشن های گوگل پلی پنهان شود و اطلاعات کارت شما را به سرقت ببرد.

همچنین فایل پیکربندی شامل یک URL فیشینگ برای اپلیکیشن های موبایل  PayPal و  eBay به منظور سرقت اعتبارنامه ها و URL ها برای برنامه های بانکی از کشورهای مختلف است.

• بریتانیا: 14 حمله به اپلیکیشن های بانکی
• آلمان: حمله به اپلیکیشن های بانکی
• ترکیه: 9 حمله به اپلیکیشن های بانکی
• استرالیا: 9 حمله به اپلیکیشن های بانکی
• فرانسه: 8حمله به اپلیکیشن های بانکی
• لهستان: 7 حمله به اپلیکیشن های بانکی
• سنگاپور: 6 حمله به اپلیکیشن های بانکی

یک برنامه ی دیگر در این پیکر بندی وجود دارد که Speedway app نام دارد، با این فرق که این اپلیکیشن معمولی و نه مالی است. Svpeng  از طریق این اپلیکیشن سرقت اعتبارها را همپوشانی می کند.

همچنین می تواند دستورات زیر را از CnC دریافت کند:

• برای ارسال مسیج
• برای جمع آوری اطلاعات (مخاطبین، اپلیکیشن های نصب شده و تماس های گرفته شده)
• برای جمع آوری تمام مسیج ها از دستگاه
• برای باز کردن URL
• برای سرقت مسیج های دریافتی

توزیع و حفاظت

تروجان The Trojan-Banker.AndroidOS.Svpeng.ae از طریق وبسایت های مخرب به عنوان یک flash player جعلی پخش می شود. تکنیک های مخرب آن حتی در دستگاه های بروزرسانی شده با آخرین نسخه های اندروید و نصب شده توسط نرم افزارهای امنیتی هم باز کار می کند. با دسترسی به تنها یکی از ویژگی های سیستم این تروجان می تواند حقوق اضافی را بدست آورد و اطلاعات بسیاری را به سرقت ببرد.

1. (به اختصار UI) یک میانجی بین انسان و ماشین است. واسط کاربر، بخش دیدنی و قابل لمس یک ابزار است که کاربرمستقیماً با آن سر و کار دارد.

منبع:  کسپرسکی آنلاین(ایدکو)

*  کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکی، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکي نام دارد.