روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ ازدواج یکی از مهم‌ترین اتفاقات زندگی هر فرد است و در خیلی از فرهنگ‌ها رسم است صدها مهمان را برای جشن عروسی دعوت می‌کنند (در بین این مهمانان همیشه کسانی هستند که کسی آن‌ها را نمی‌شناسد!). اشرار سایبری از این سنت سواستفاده کرده و از دعوت‌نامه‌های عروسی برای اجرای حمله روی کاربرانی که اسمارت‌فونشان اندرویدی است کمک گرفته‌اند. در ادامه توضیح داده‌ایم این حمله چه ساز و کاری دارد.

اصلاً ربط عروسی با apkها در کجاست؟

شاید همین الان هم با شبکه جهانی هوش تهدید ما به نام KSN آشنایی داشته باشید. در سال 2024 ما چندین نمونه مشکوک و واضحاً مخرب APK را مشاهده کردیم که درمالزی و برونئی در گردش بودند. همزمان، شبکه‌های اجتماعی پر شده بودند از اخبار مربوط به شکایات کاربران اندرویدی در همین دو کشور که نام بردیم. آن‌ها ادعا داشتند اکانت واتس‌اپشان هک شده، یا از طریق واتس‌اپ و یا سایر اپ‌های پیام‌رسان APK مشکوک دریافت کرده است. با کنار هم گذاشتن تکه‌های پازل، ما نتیجه گرفتیم که مجرمان سایبری برای کاربران اندروید در برونئی و مالزی دعوت نامه‌های عروسی را در قالب یک APK ارسال می‌کردند که از قربانیان خواسته می‌شد خودشان آن را روی دستگاه‌های خود نصب کنند. در این پیام، مهاجم با عذرخواهی برای دعوت گیرنده به چنین رویداد مهمی از طریق واتس‌اپ و نه حضوری شروع می‌کند، سپس به کاربر پیشنهاد می‌کند زمان و مکان جشن را در فایل ضمیمه پیدا کند - که معلوم شد همان APK مخربی بوده که در KSN نیز پیدا شده.

این نقشه از دو نسخه یک سارق یکسان (آنی که مارس 2024 سر و  کله‌اش پیدا شد؛ بعدی با کارایی مضاعف در آگست پدیدار شد) به نام "تریا" استفاده می‌کند. این نامِ کاربری است که ظاهراً مسئول پشتیبانی یا حتی پیشبرد کل کمپین است.

سارق تریا چه کارهایی از دستش برمی‌آید؟

این بدافزار در وهله اول داده‌ها را از پیام‌های ایمیل و متنی جمع کرده و نیز لاگ‌های تماس و پیام را که در ادامه از طریق بات‌های تلگرامی به C2 می‌فرستد می‌خواند. به صورت طبیعی، مهاجمین این کار را از عشق خواندن مکاتبه‌ی افراد دیگر انجام نمی‌دهند. همه داده‌های سرقتی برای هک تلگرام قربانی استفاده می‌شود؛ همینطور اکانت واتس‌اپ و سایر اکانت‌های او. و بعد از کانتکت‌ها می‌رود و درخواست پول می کند. با این وجود،سناریویی بس ناخوشایندتر نیز ممکن است: مهاجمین می‌توانند با درخواست و رهگیری کدهای OTP که برای لاگین نیازند، به اکانت‌های بانکداری آنلاین قربانی دسترسی پیدا کنند. سارق برای پوشش، از تاکتیک‌های مهندسی اجتماعی کمک می‌گیرد: پنهان شدن پشت آیکون چرخ‌دنده و تقلید از اپ سیستم برای دریافت مجوزی که از سوی کاربر نیاز است. بدافزار به طور کلی به ده مجوز نیاز دارد از جمله دسترسی به فعالیت شبکه و ارسال/خواندن پیام‌های متنی. برای جزئیات بیشتر در مورد مجوزهای دیگری که Tria درخواست و دقیقاً چگونه دزد کار می کند، به پست کامل در وبلاگ Securelist ما مراجعه کنید. در حال حاضر مشخص است که این حملات محدود به کاربران در مالزی و برونئی بوده و افراد خاصی را هدف قرار نداده اند. با این حال، اشرار سایبری ممکن است تصمیم بگیرند که دامنه دسترسی خود را در آینده گسترش دهند. و وقتی نوبت به دعوت جعلی منجر به نصب APK می‌‌رسد، دامنه به مراسم‌های عروسی‌ محدود نمی‌شود - حملات آینده می‌توانند از مراسم مذهبی، تولدها... شما نام ببرید. بنابراین هوشیار باشید، خود را با محافظت قابل اعتماد مسلح کنید و نکات ما را در مورد نحوه مبارزه با این دزد و سایر بدافزارهای اندروید بخوانید.

راهکارهای امنیتی

روش ساده توزیع محافظت از خود در برابر موارد زیر را نسبتاً آسان می کند:

•         هرگز به افراد غریبه در برنامه‌های پیام‌رسان پاسخ ندهید - به خصوص اگر از شما بخواهند چیزی را دانلود و نصب کنید. مراقب چنین پیام‌هایی باشید حتی اگر از طرف افرادی در لیست مخاطبین شما باشد.
•         هرگز فایل‌های APK دانلود شده از منابع نامعتبر را باز نکنید. اگر می‌خواهید چیزی را روی گوشی هوشمند خود نصب کنید، همیشه از فروشگاه‌های برنامه رسمی (اگرچه حتی این‌ها نیز از بدافزار مصون نیستند) یا وب‌سایت‌های توسعه‌دهنده استفاده کنید.
•         برای محافظت از آن در برابر تریا  Kaspersky for Android را روی گوشی هوشمند خود نصب کنید.
•         به برنامه‌ها بیش از نیازشان مجوز ندهید. مراقب برنامه‌های جدیدی باشید که تشنه مجوز هستند.
•         حساب‌های خود را در سایر برنامه‌های پیام‌رسان و شبکه‌های اجتماعی سخت کنید. می‌توانید راهنماهای پرجزئیات تنظیمات حریم خصوصی را در جستجوگر حریم خصوصی بیابید. 

در پایان هر پستی با مضمون کلاهبرداری، ما معمولاً توصیه می‌کنیم احراز هویت دو مرحله‌ای را برای همه برنامه‌ها و سرویس‌هایی که امکان دارد تنظیم کنید. با این حال، در مبارزه با Tria، و همچنین بسیاری از تروجان‌های دیگر، 2FA با OTP از طریق متن کمک چندانی نمی‌کند: این بدافزار می‌تواند پیام‌های دریافتی را رهگیری کند، کدها را از آنها استخراج کند و حتی چنین پیام‌هایی را حذف کند تا هرگز متوجه چیزی نشوید.

 به این ترتیب، توصیه می‌کنیم از یک برنامه احراز هویت برای تولید کدهای 2FA استفاده کنید. مدیر کلمه عبور راهکاری عالی است – با گزینه‌ای برای همگام‌سازی آنها در همه دستگاه‌های شما، به طور ایمن OTPها را تولید و رمزهای عبور و اسناد محرمانه را به طور قابل اعتماد ذخیره می‌کند. شایان ذکر است که سارقین علاقه خاصی به ربودن حساب های تلگرام دارند. برای جلوگیری از از دست دادن رمز عبور خود، توصیه می کنیم یک رمز عبور کلود تلگرام را خیلی سریع تنظیم و از مدیر کلمه عبور برای ایجاد و ذخیره آن استفاده کنید. برای اطلاع از نحوه راه‌اندازی 2FA، به پست ما در صورت هک شدن اکانت تلگرام چه باید کرد مراجعه کنید.

کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.