۴ بدافزار به اسم آنتی ویروس که هنوز از گوگل پلی حذف نشده‌اند!

به‌تازگی بدافزاری در قالب ۴ اپلیکیشن آنتی‌ویروس و پاک کننده در گوگل پلی شناسایی شده‌اند که در صورت نصب بر دستگاه کاربر، می‌توانند علاوه بر دسترسی و کنترل کامل بر دستگاه، حساب‌های بانکی وی را با تکنیک ATS خالی کنند.

تکنیک ATS چیست؟

تکنیک Automatic Transfer Systems روشی است که در آن صفحه انتقال پول در برنامه‌های بانکی قربانی با شماره کارت و اطلاعات مهاجم پر می‌شود و انتقال پول بطور خودکار صورت می‌گیرد.
در واقع با استفاده از این تکنیک، مهاجم می‌تواند لمس صفحه نمایش، کلیک کردن و فشردن دکمه را شبیه‌سازی کند.

اعمال مخرب بدافزار بانکی SharkBot

این بدافزار که SharkBot نام دارد، با سوءاستفاده از مجوز Accessibility، هر مجوز دیگری که نیاز داشته باشد را اخذ می‌کند و به این ترتیب می‌تواند اعمال مخرب زیر را انجام دهد:

حمله‌ی Overlay
زمانی‌که کاربر برنامه‌ای بانکی را باز می‌کند، یک صفحه‌ی لاگین جعلی در آن باز می‌شود که اطلاعات ورود قربانی را سرقت می‌کند.

کی‌لاگینگ
بدافزار موارد تایپ شده‌ی کاربر را ضبط و به سرور C&C ارسال می‌کند.

دستکاری پیامک‌ها
پیامک‌های قربانی رهگیری و در صورت نیاز پنهان می‌شوند.

کنترل از راه دور
بدافزار می‌تواند کنترل از راه دور کنترل کاملی بر دستگاه قربانی پیدا کند.

دیگر ویژگی‌های مخرب SharkBot

> ارسال پیامک
> تغییر SMS manager
> دانلود فایل از یک URL خاص
> غیرفعال نمودن نصب برنامه‌های دستگاه
> دریافت فایل پیکربندی به‌روزرسانی شده
> غیرفعال نمودن بهینه‌سازی باتری
> غیرفعال نمودن Overlay فیشینگ
> فعال یا غیرفعال نمودن ATS
> بستن یک برنامه هنگامی که کاربر قصد باز کردنش را دارد

دور زدن گوگل پلی با Direct reply

بدافزار SharkBot با استفاده از این ویژگی، پیامی که سرور C2 به دستگاه ارسال می‌کند را با یک URL کوتاه شده پاسخ می‌دهد و پی‌لودهای اصلی را بر دستگاه دانلود می‌کند.

در واقع نسخه‌ی موجود در گوگل پلی برای کاهش احتمال شناسایی، پی‌لودهای اصلی را ندارد.