12:15 1401/2/27
382
شرکت بیتبانسرقت اطلاعات و هک والت رمزارز در گوگل پلی
اخیرا تعداد زیادی بدافزار در گوگل پلی شناسایی شده، که برخی از آنها جاسوسافزار بوده و در قالب برنامههایی مانند VPN، تمرینات فیتنس و ویرایشگر عکس، اطلاعات لاگین کاربران را سرقت میکنند.
برخی دیگر از این بدافزارها، استخراج کنندههای جعلی ارز دیجیتال هستند، که علاوه بر کلاهبرداری به بهانه ثبتنام در سرویسهای استخراج ابری رمزارز، کلید خصوصی و عبارات بازیابی والت قربانی را نیز سرقت میکنند.
گفتنی است این بدافزارها مجموعا بیش از صدهزار نصب داشتهاند و این بدین معناست که دستگاه کاربران بسیاری را آلوده کردهاند.
جاسوسافزارهای مذکور که Facestealer نامیده میشوند، پس از نصب از کاربر میخواهند که وارد حساب فیسبوک خود شود، سپس یک کد جاوااسکریپت به صفحهی بالا آمده تزریق میکنند که اطلاعات وارد شده توسط کاربر را سرقت میکند.
روش کار استخراج کنندههای جعلی رمزارز
این بدافزارها به کاربر وعده میدهند که با خرید سرویسهای استخراج رمزارز آنها، به والتشان رمزارز منتقل کنند، که ادعایی پوچ بوده و اصلا چنین عملکردی در آنها وجود ندارد.
این بدافزارها وبسایتی را بارگذاری میکنند که اطلاعات این استخراج (ابری) خود را توضیح میدهد و سپس او را به صفحهای هدایت میکند، که از وی میخواهد کلید خصوصی والت خود را فراخوانی کند.
همزمان به وی اطمینان داده میشود که این کلید خصوصی رمزنگاری میشود، که کذب بوده و بدون هیچ تغییری برای مهاجم ارسال میشود.
در حالتی دیگر، عبارات بازیابی والت کاربر از وی درخواست و همچنان بدون رمزنگاری و تغییر برای مهاجم ارسال میگردد.
کار دیگری که مهاجم برای تشویق کاربر به ثبتنام در سرویسهای استخراج جعلی خود انجام میدهد، دادن وعدهی ۰.۱ تتر ایردراپ، در صورت ثبتنام در سرویس مذکور است.
اما یک شرط برای این ایردراپ وجود دارد و آن اینکه، کاربر باید حداقل معادل ۱۰۰ دلار در والت خود رمزارز داشته باشد. که واضح است این وعده به قصد سرقت همان حداقل ۱۰۰ دلار است.
این بدافزارها توسط اپلیکیشن ضدبدافزار بیتبان شناسایی میشوند.
مشخصات جاسوسافزارها و استخراج کنندههای جعلی رمزارز
جدول جاسوسافزارهای Facestealer
|
SHA-256 |
نام پکیج |
تعداد دانلود |
|
7ea4757b71680797cbce66a8ec922484fc25f87814cc4f811e70ceb723bfd0fc |
com.olfitness.android |
10,000+ |
|
b7fe6ec868fedaf37791cf7f1fc1656b4df7cd511b634850b890b333a9b81b9d |
com.editor.xinphoto |
100,000+ |
|
40580a84b5c1b0526973f12d84e46018ea4889978a19fcdcde947de5b2033cff |
com.sensitivity.swarmphoto |
10,000+ |
|
6ccd0c0302cda02566301ae51f8da4935c02664169ad0ead4ee07fa6b2f99112 |
com.meta.adsformeta3 |
100+ |
|
4464b2de7b877c9ff0e4c904e9256b302c9bd74abc5c8dacb6e4469498c64691 |
com.photo.panoramacamera |
50,000+ |
|
3325488a8df69a92be92eb11bf01ab4c9b612c5307d615e72c07a4d859675e3f |
com.photo.move |
10,000+ |
جدول استخراج کنندههای جعلی رمزارز
|
SHA-256 |
نام پکیج |
نام شناسایی بدافزار |
|
3d3761c2155f7cabee8533689f473e59d49515323e12e9242553a0bd5e7cffa9 |
app.cryptomining.work |
AndroidOS_FakeMinerStealer |
| 7c76bff97048773d4cda8faacaa9c2248e594942cc492ffbd393ed8553d27e43 | app.cryptomining.work | AndroidOS_FakeMinerStealer |
| c56615acac1a0df1830730fe791bb6f068670d27017f708061119cb3a49d6ff5 | app.cryptomining.work | AndroidOS_FakeMinerStealer |
منبع: Trend Micro