تحقیقات صورت گرفته توسط محققان امنیتی نشان می دهد که هکرها حداقل ۷۵٪ از سرورهای MDM (مدیریت دستگاه تلفن همراه) را نقض کرده اند تا بدافزارهای بانکی خود را بطور گسترده روی دستگاههای Android نصب کنند.
سرورهای MDM با عنوان EMM (مدیریت Mobility سازمانی) نیز شناخته می شود و توسط بسیاری از شرکت ها مورد استفاده قرار می گیرد. کمپانی های زیادی جهت استفاده از سرویس های مختلف این سرور اقدام به رجیستر کردن پروژها و Task های خود می کنند. این سرویس ها می توانند دستگاه های سازمانی و پیکربندی آنها را با آدرس دهی منظم طبقه بندی کرده و با برنامه های کاربردی وسیعی که دارد روال کاری سازمانی را تسهیل کند.
با توجه به مواردی که گفته شد و همچنین بررسی های دقیق امنیتی مشخص شد که این نقض امنیتی اخیر اکنون در سراسر جهان ۷۵٪ از دستگاه های سازمان ها را آلوده کرده است. این نوع بدافزاری خطرناک “Cerberus” می تواند مقادیر عظیمی از داده های کاربران که شامل داده های خصوصی آنها است را جمع آوری کرده و به سرور کنترل-فرمان از راه دور هکرها (C&C) منتقل کند.
بدافزار Cerberus یک تروجان بانکی است که ابتدا در ژوئن ۲۰۱۹ شناسایی شد. این بدافزار از یک مدل تجاری (Malware-as-a-service (MaaS استفاده می کند و به مهاجمان این امکان را می دهد تا پیکربندی و کنترل دستگاههای مورد حمله را نیز در دست بگیرند.
پاپ آپ HTML برای سرقت اعتبارهای کاربران
ریست فکتوری تمامی دستگاه های آندرویدی رجیستر شده
پس از آنکه هکرها به سرور MDM دسترسی پیدا کردند، با استفاده از اپلیکیشن های خود موفق به نقض امنیتی بیش از ۷۵درصد از دستگاه های آندرویدی سازمان ها شدند. محققان امنیتی دو برنامه مخرب نصب شده روی تعداد زیادی دستگاه های یک سازمان شناسایی کردند و با کمک سرور MDM نقض شده، شروع به تحلیل این نقض امنیتی کردند.
بیانیه منتشر شده محققان امنیتی Check Point :
“این اولین بار است که ما یک گزارش از توزیع بدافزارهای تلفن همراه داریم که از سرور MDM به عنوان یک بردار حمله استفاده شده است. ما به این نتیجه رسیدیم که برای رهایی از این بدافزار و کنترل توانایی مهاجم در کنترل دستگاه های آلوده اندرویدی، شرکت ها باید بلافاصله کلیه دستگاه های اندرویدی ثبت شده در سرور MDM را ریست فکتوری کنند.”
ماژول های payload که می توانند از C&C دریافت داشته باشند
دسترسی به دستگاه های مورد نفوذ
Cerberus به سادگی می تواند مانع از تلاش قربانیان برای حذف برنامه TeamViewer شود و دسترسی به دستگاههای مورد نفوذ را تضمین می کند.
پنجره پاپ آپ از کاربر می خواهد سرویس دسترسی را به روز کند
علاوه بر این، Cerberus سیستم امنیتی بدافزار اندرویدی با نام Google Play Protect را به سادگی غیرفعال می کند و مانع از شناسایی و حذف خودکار می شود …
از موارد گفته شده می توان نتیجه گرفت که این فرآیندهای مخرب نشان دهنده اهمیت شناخت تفاوت بین مدیریت و ایمن سازی دستگاه های تلفن همراه است.
Indicators of Compromise
C2 Server – ۹۱٫۲۱۰٫۱۶۹[.]۱۱۴
| Package Name | Application Name | sha256 |
| com.wjnjrmigikmpher.efaunxm | Google Play 1.0 | 4254670ea5f353263570792a8ff4a1e6ea35999c2454fa1ec040786d7be33b69 |
| com.dfxsdgr.qvoor | Google 1.0 | 6291192d0c2 f6318f9a4f345203b35cfe140be53889f9fefdd8e057a4f02e898 |
| com.sakkkwyl.ncceberwpdhfq | GTA V 1.0 | 3ef8349d4b717d73d31366dfbe941470e749222331edd0b9484955a212080ad8 |