تحقیقات گزارش شده توسط محققان امنیتی نشان دهنده موج جدیدی از حملات تروجان های بانکی و سرقت اطلاعات شخصی کاربران با بدافزار “EventBot” می باشد. بدافزار شناسایی شده می تواند اطلاعات بانكی، داده های شخصی و کلیک های روی صفحه کیبورد در دستگاههای Android را سرقت کرده و برای هکرها ارسال کند.
روال کاری این بدافزار در درجه اول بهره برداری از ویژگی های قابلیت دسترسی Android و سرقت داده های برنامه های مالی، پیام های اس ام اس و خواندن پیام کوتاه دریافتی برای دور زدن فرآیند احراز هویت 2FA یا رمز دومرحله ایی است. همچنین EventBot طیف گسترده ای از کاربران آندرویدی را با حدود ۲۰۰ برنامه مختلف مالی در دسته های مختلف از جمله بانکداری، خدمات انتقال پول و کیف پول رمزنگاری شده هدف قرار داده است.
نمونه برنامه های کاربردی که این بدافزار هدف قرار داده عبارتند از: Paypal Business ، Revolut ، Barclays ، UniCredit ، CapitalOne UK ، HSBC UK ، Santander UK ، TransferWise ، Coinbase ، Paysafecard و بسیاری موارد دیگر که توسط ده ها میلیون کاربر اندرویدی استفاده می شود.
بدافزار EventBot که از نوع تروجان می باشد و پس از به خطر انداختن این برنامه ها، دسترسی گسترده ای بر روی داده های شخصی و تجاری کسب می کند که حدود ۶۰٪ از دستگاه های Android این برنامه ها را نصب دارند.
این بدافزار کاملاً جدید است و توسعه دهندگان آن متد های مختلفی را با ویژگی های پیشرفته ایجاد کرده اند. و احتمالاً در سال ۲۰۲۰ به یک بدافزار بزرگ موبایل تبدیل شود.
فرآیند آلودگی EventBot
در مرحله اولیه حمله، مهاجمان بدافزار را به عنوان یک برنامه کاربردی مشروع با چند آیکن که شبیه آیکن های برنامه های متداول هستند قرار داده و در فروشگاه های توزیع APK و سایر وب سایت های دیگر بارگذاری می کنند تا کاربران دانلود کرده و از آن استفاده کنند.
محققان امنیتی نسخه های متفاوتی از بدافزار EventBot مشاهده کردند و هر نسخه از قابلیت ربات های مختلفی برخوردار است.
(۰٫۰٫۰٫۱, ۰٫۰٫۰٫۲, and 0.3.0.1 and 0.4.0.1)
پس از نصب ماژول مخرب، مجوز های زیر در دستگاه شخص قربانی درخواست می شود.
- SYSTEM_ALERT_WINDOW – allow the app to create windows that are shown on top of other apps.
- READ_EXTERNAL_STORAGE – read from external storage.
- REQUEST_INSTALL_PACKAGES – make a request to install packages.
- INTERNET – open network sockets.
- REQUEST_IGNORE_BATTERY_OPTIMIZATIONS – whitelist the app to allow it to ignore battery optimizations.
- WAKE_LOCK – prevent the processor from sleeping and dimming the screen.
- ACCESS_NETWORK_STATE – allow the app to access information about networks.
- REQUEST_COMPANION_RUN_IN_BACKGROUND – let the app run in the background.
- REQUEST_COMPANION_USE_DATA_IN_BACKGROUND – let the app use data in the background.
- RECEIVE_BOOT_COMPLETED – allow the application to launch itself after system boot. EventBot uses this permission in order to achieve persistence and run in the background as a service.
- RECEIVE_SMS – allow the application to receive text messages.
- READ_SMS – allow the application to read text messages.
به محض دستیابی به این دسترسی ها، بدافزار این امکان را پیدا کرده که به عنوان یک keylogger عمل کند و به سایر برنامه های نصب شده دسترسی پیدا کند.
طبق گزارش تحقیقات Cybereason “این نسخه شامل ۱۸۵ برنامه مختلف از جمله برنامه های رسمی بانک های جهانی است. ۲۶ مورد از برنامه های هدفمند در ایتالیا ، ۲۵ مورد از انگلیس، ۶ مورد از آلمان، ۵ مورد از فرانسه و ۳ مورد از اسپانیا هستند. ”
لیست جمع آوری داده ها توسط بدافزار
- تهیه لیستی از تمام برنامه های نصب شده: پس از نصب EventBot در دستگاه هدف، تمام برنامه های موجود در دستگاه مورد نظر را لیست کرده و آنها را به سرور C2 ارسال می کند.
- اطلاعات دستگاه: EventBot اطلاعات دستگاه مانند سیستم عامل، مدل و غیره را به سرور C2 ارسال می کند.
- رمزگذاری داده ها: در نسخه اولیه EventBot، داده های استخراج شده با استفاده از Base64 و RC4 رمزگذاری می شوند.
- دریافت پیام کوتاه: EventBot امکان تحلیل پیامهای SMS با استفاده از نسخه SDK دستگاه هدف را دارد.
هر نسخه دارای ویژگی های منحصر به فرد خود برای سرقت اطلاعات مالی است و قادر به ربودن تراکنش ها و همچنین جمع آوری داده های شخصی، گذرواژهها، کلیدها و اطلاعات بانکی می باشد.
توصیه های مفید توسط کارشناسان امنیتی
- دستگاه تلفن همراه خود را با جدیدترین به روزرسانی های نرم افزار از منابع قانونی به روز نگه دارید.
- برنامه های تلفن همراه را از منابع غیر رسمی یا غیر مجاز دانلود نکنید. بیشترین برنامه های قانونی Android در فروشگاه Google Play در دسترس هستند.
- همیشه از تفکر انتقادی استفاده کنید و در نظر داشته باشید که مجوزهای درخواستی را نباید به هر نرم افزاری بدهید.
- اگر به برنامه ایی شک دارید، قبل از نصب روی دستگاه خود امضای APK و توابع هش در سایت های آنلاینی مانند VirusTotal بررسی کنید.
- برای امنیت بیشتر با مشاوران امنیتی تایید شده مشورت کنید.