روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ بیشترِ تروجانهای بانکیِ موبایل وقتی به گوشی نفوذ کردند، سعی میکنند به پیامهای SMS دسترسی پیدا نمایند. آنها این کار را برای جدا کردن و مختلسازیِ کدهای تأییدیهی یکبار مصرف از سوی بانکها انجام میدهند. صاحبان این بدافزار -که حالا به چنین کدی مجهزند- میتوانند پرداخت انجام داده و یا بدون اینکه روح قربانی هم از این ماجرا خبر داشته باشد، پولهایش را از کارت او بالا بکشند. در عین حال، بسیاری از تروجانهای موبایل برای آلوده کردن هر چه بیشترِ دستگاهها از پیامهای متنی برای ارسال لینک دانلودی مخرب به کانتکتهای قربانی استفاده میکنند. برخی اپهای آلوده حتی از میزان بیشتری از خلاقیت نیز برخوردار هستند و از دسترسی SMS برای توزیع سایر چیزها به نام شما (از جمله پیامهای متنی توهینآمیز و زشت) استفاده میکنند. بدافزار Ginp که اولین بار پاییز گذشته شناسایی شد حتی میتواند روی گوشی قربانی پیامهای دریافتی بسازد؛ پیامهایی که در واقع هیچ کسی نفرستاده است (و این تنها به پیام متنی خلاصه نمیشود). این تازه اول ماجراست، با ما همراه بمانید.
از دست تروجان موبایل Ginp چه کارهایی برمیآید؟
اول از همه اینکه، Ginp برای یک تروجان بانکی بودن در حد استاندارد خود مهارت داشت. این تروجان تمام کانتکتهای قربانی را دو دستی تقدیم سازندگانش کرد؛ جریان پیامهای متن را قطع نمود؛ دادههای کارت اعتباری را سرقت کرد؛ و اپهای بانکی را با پنجرههای فیشینگ پوشانید.
در مورد نکتهی آخر باید خدمتتان عرض کنیم این بدافزار از بخش Accessibility سوءاستفاده کرد؛ مجموعهای از قابلیتهای اندروید برای کاربرانی که دچار نقص در بینایی هستند. این خیلی هم روش نامعمولی نیست؛ تروجانهای بانکی و سایر انواع بدافزار از این جهت از چنین قابلیتهایی استفاده میکنند که بتوانند به هر چیزی روی نمایشگر دسترسی بصری داشته باشند و نیز قادر باشند حتی روی دکمهها یا لینکها ضربه بزنند- یعنی آنها عملاً میتوانند کنترل گوشی شما را به طور کل در دست گیرند.
اما نویسندگان Ginp کارشان را همینجا متوقف نکردند؛ آنها مدام انبارخانهاش را با مهمات جدید (قابلیتهای تازه) پر میکردند. به عنوان مثال، این بدافزار شروع کرد به استفاده از نوتیفیکیشنها و پیامهای پاپآپشده تا بتواند کاری کند قربانی برخی اپها را برایش باز کند- آن دسته از اپهایی که میتوانست با پنجرههای فیشینگ رویشان را بپوشاند. کلمات داخل این نوتیفیکیشنها با هوشمندی تنظیم شده بودند؛ طوری که کاربر یکجورهایی خام شود و انتظار داشته باشد فرم بانکی برای پر کردن اطلاعات کارت را ببیند.
در زیر برایتان مثالی آوردهایم (به اسپانیایی):
گوگلپی: Nos faltan los detalles de su tarjeta de crédito o débito. Utilice Play Store para agregarlos de manera segura.
(گوگل پی: جزئیات کارت اعتباری یا کارت بدهی شما در دسترس ما نیست؛ لطفاً از اپِ پلیاستور برای افزودن مطمئنِ این جزئیات استفاده کنید).
در اپ Play Store، کاربران فرمی برای وارد کردن اطلاعات کارت (همانطور که انتظار میرفت) مشاهده میکنند. با این حال، این همان تروجان است که دارد فرم را نشان میدهد نه گوگلپلی- و دادههای ورودی مستقیم میرسد به دست مجرمان سایبری.
Ginp یک قدم فراتر از Play Store گذاشته و همچنین نوتیفیکیشنهایی به ظاهر از سوی اپهای بانکی به شما نشان میدهد:
B**A: Actividad sospechosa en su cuenta de B**A. Por favor, revise las ultimas transacciones y llame al 91 *** ** 26.
(B**A: فعالیت مشکوک روی اکانت B**A شما شناسایی شد. لطفاً آخرین تراکنشهای خود را چک کرده و با 91 *** ** 26 تماس بگیرید).
نوتیفیکیشنهای جعلی (کنجکاوانه) شماره تلفن واقعیای مخصوص بانک ارائه میدهند. بنابراین اگر به آن شماره زنگ زنید، صدای آن طرف خط احتمالاً چنین گزارش میدهد که حال اکانتتان خوب است. اما اگر پیش از تماس گرفتن با شماره بانک، به تراکنشهای مشکوک خود نگاهی بیاندازید، خواهید دید که بدافزار اپ بانکی را با پنجرهای علی پوشانده و از شما طلب اطلاعات کارت میکند.
پیامهای SMS جعلی اما قانعکننده
اوایل ماه فوریه، سیستم پیگیری حمله باتنت[1] ما ویژگیِ دیگری در Ginp شناسایی کرد: توانایی در ساخت پیامهای متنی دریافتیِ جعلی. هدف مثل سابق است- مجاب کردن کاربر برای باز کردن اپ. اما این بار، تروجان میتواند پیامهای اساماس را با هر متنی و ظاهراً از سوی هر فرستندهای تولید نماید. هیچرقمه نمیتوان جلوی مهاجمین را برای ساختن پیامها از سوی بانک یا گوگل گرفت.
برخلاف نوتیفیکیشنها که کاربران اغلب بدون آنکه نگاه کنند آنها را رد میکنند، پیامهای اساماسی دریافتی دیر یا زود خوانده میشوند. این بدانمعناست که شانس خوبی وجود دارد هر کاربری اپ را برای چک کردن اینکه در اکانتش چه اتفاقی میافتد باز کند. و درست همینجاست که این تروجان با فرم جعلی اطلاعات بانکی وارد میدان میشود.
چطور از خطرات Ginp در امان بمانیم؟
در حال حاضر، Ginp بیشتر دارد از اسپانیا قربانی میگیرد اما تاکتیکهایش همین الان هم یک باری تغییر پیدا کرده است؛ قبلاً دو کشور لهستان و انگلیس هم مورد حملهی این تروجان قرار گرفته بودند. بنابراین اگر جای دیگری زندگی میکنید همیشه این چند قانون پایهی امنیت سایبری را به یاد داشته باشید:
- اپها را تنها از گوگلپلی دانلود نمایید.
- هیچ برنامهای را از منابع ناشناخته در تنظیمات اندروید نصب نکنید یا اگر دیدید در حال نصب است آن را بلاک کنید. با این کار شانس دریافت اپهای آلوده به مراتب کمتر خواهد شد.
- لینکهای داخل پیامهای متنی را خصوصاً اگر پیام به هر نحوی مشکوک به نظر رسید دنبال نکنید- اگر احیاناً دوستی به طور غیرمنتظره به شما لینک عکس داد (به جای ارسال عکس در بدنهی پیام و یا فرضاً در اپ رسانه اجتماعی).
- به هیچ اپی مجوزهای Accessibility (حتی اگر درخواست کردند) ندهید- برنامههای کمی آن بیرون هستند که واقعاً به چنین مجوزهای نیرومندی احتیاج دارند.
- حواستان به اپهایی که میخواهند به متنهای شما دسترسی پیدا کنند باشد.
- راهکار امنیتی مطمئنی را روی گوشی خود نصب کنید. بعنوان مثال، Kaspersky Internet Security for Android بدون فوت وقت Ginp و بسیاری از تهدیدهای دیگر را شناسایی میکند.
[1] Botnet Attack Tracking system
منبع: کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکي نام دارد.