05 مه

تحقیقات صورت گرفته توسط محققان امنیتی نشان می دهد که هکرها حداقل 75٪ از سرورهای MDM (مدیریت دستگاه تلفن همراه) را نقض کرده اند تا بدافزارهای بانکی خود را بطور گسترده روی دستگاههای Android نصب کنند.

سرورهای MDM با عنوان EMM (مدیریت Mobility سازمانی) نیز شناخته می شود و توسط بسیاری از شرکت ها مورد  استفاده قرار می گیرد. کمپانی های زیادی جهت استفاده از سرویس های مختلف این سرور اقدام به رجیستر کردن پروژها و Task های خود می کنند. این سرویس ها می توانند دستگاه های سازمانی و پیکربندی آنها را با آدرس دهی منظم طبقه بندی کرده و با برنامه های کاربردی وسیعی که دارد روال کاری سازمانی را تسهیل کند.

با توجه به مواردی که گفته شد و همچنین بررسی های دقیق امنیتی مشخص شد که این نقض امنیتی اخیر اکنون در سراسر جهان 75٪ از دستگاه های سازمان ها را آلوده کرده است. این نوع بدافزاری خطرناک “Cerberus” می تواند مقادیر عظیمی از داده های کاربران که شامل داده های خصوصی آنها است را جمع آوری کرده و به سرور کنترل-فرمان از راه دور هکرها (C&C) منتقل کند.

بدافزار Cerberus یک تروجان بانکی است که ابتدا در ژوئن 2019 شناسایی شد. این بدافزار از یک مدل تجاری (Malware-as-a-service (MaaS استفاده می کند و به مهاجمان این امکان را می دهد تا پیکربندی و کنترل دستگاههای مورد حمله را نیز در دست بگیرند.

پاپ آپ HTML برای سرقت اعتبارهای کاربران

امنیت سایبری

ریست فکتوری تمامی دستگاه های آندرویدی رجیستر شده

پس از آنکه هکرها به سرور MDM دسترسی پیدا کردند، با استفاده از اپلیکیشن های خود موفق به نقض امنیتی بیش از 75درصد از دستگاه های آندرویدی سازمان ها شدند. محققان امنیتی دو برنامه مخرب نصب شده روی تعداد زیادی دستگاه های یک سازمان شناسایی کردند و با کمک سرور MDM نقض شده، شروع به تحلیل این نقض امنیتی کردند.

بیانیه منتشر شده محققان امنیتی Check Point :
“این اولین بار است که ما یک گزارش از توزیع بدافزارهای تلفن همراه داریم که از سرور MDM به عنوان یک بردار حمله استفاده شده است. ما به این نتیجه رسیدیم که برای رهایی از این بدافزار و کنترل توانایی مهاجم در کنترل دستگاه های آلوده اندرویدی، شرکت ها باید بلافاصله کلیه دستگاه های اندرویدی ثبت شده در سرور MDM را ریست فکتوری کنند.”

ماژول های payload که می توانند از C&C دریافت داشته باشند

خبرهای سایبری

دسترسی به دستگاه های مورد نفوذ

Cerberus به سادگی می تواند مانع از تلاش قربانیان برای حذف برنامه TeamViewer شود و دسترسی به دستگاههای مورد نفوذ را تضمین می کند.

پنجره پاپ آپ از کاربر می خواهد سرویس دسترسی را به روز کند

امنیت سایبری

علاوه بر این، Cerberus سیستم امنیتی بدافزار اندرویدی با نام Google Play Protect را به سادگی غیرفعال می کند و  مانع از  شناسایی و حذف خودکار می شود …

حملات سایبری

از موارد گفته شده می توان نتیجه گرفت که این فرآیندهای مخرب نشان دهنده اهمیت شناخت تفاوت بین مدیریت و ایمن سازی دستگاه های تلفن همراه است.

Indicators of Compromise

C2 Server – 91.210.169[.]114

Package NameApplication Namesha256
com.wjnjrmigikmpher.efaunxmGoogle Play 1.04254670ea5f353263570792a8ff4a1e6ea35999c2454fa1ec040786d7be33b69
com.dfxsdgr.qvoorGoogle 1.06291192d0c2
f6318f9a4f345203b35cfe140be53889f9fefdd8e057a4f02e898
com.sakkkwyl.ncceberwpdhfqGTA V 1.03ef8349d4b717d73d31366dfbe941470e749222331edd0b9484955a212080ad8

Share on Facebook

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

دو + 14 =


CAPTCHA Image
Reload Image