مجموعه دیگری از تروجان های بانکی راه خود را از مکانیزم های امنیتی Google Play پیدا کرده است و این بار تعدادی از بانک های لهستان را مورد هدف قرار داده است. این بدافزار موفق به مخفیانه حرکت کردن و به عنوان برنامه های ظاهرا قانونی “Crypto Monitor”، یک برنامه ردیابی هزینه های رمزنگاری ارز و “StorySaver”، یک ابزار کمکی برای Instagram، مدیریت شده است.
علاوه بر ارائه ویژگی های ذکر شده،این برنامه های مخرب می توانند اعلان های جعلی و فرم های ورود به سیستم را به ظاهر از برنامه های کاربردی بانکی بیرون بیاورند، اعتبار های وارد شده را به شکل جعلی نمایش دهند و از پیام های متنی احراز هویت مبتنی بر SMS، جلوگیری کنند.
همین تروجان اخیرا در Google Play توسط محققان RiskIQ ، به صورت یک مدل متفاوت، شناسایی و در گزارش 9 نوامبر منتشر شد.
برنامه های مخرب
اولین برنامه های مخرب، “Crypto Monitor” که با آن روبرو شدیم در 25 نوامبر سال 2017 تحت نام “developer” نامگذاری شدند. برنامه، Story Saver با نام developer kirillsamsonov45، در تاریخ 29 نوامبر در Google Play ظاهر شد.
برنامه ها در آن زمان بین 1000 تا 5000 بار دانلود شده بود که ESET، در 4 دسامبر آن را به Google گزارش داده و هر دو برنامه از فروشگاه حذف شد.
پس از اجرای اپلیکیشن مخرب در دستگاه آسیب دیده، برنامه های موجود، برای یافتن اپلیکشن های بانکی مورد نظر مهاجمان، مورد بررسی قرار می گیرند ( که در این مورد، 14 اپلیکشن بانک هدف حمله قرار گرفتند).
بدافزار می تواند یک فرم لاگین جعلی از روی اپلیکشن اصلی را نمایش دهد. این اتفاق بدون هیچ فعالیتی از سوی کاربر و یا در صورت کلیک روی پیغامی جعلی ای که بنظر از طرف بانک است، رخ می دهد.
سیستم های امنیتی ESET این تهدید را با عنوان Android/Spy.Banker.QL شناسایی نموده اند و در صورتی که روی دستگاه اندرویدی از محصولات امنیتی ESET استفاده شود، از نصب این بدافزار بر روی دستگاه جلوگیری می کند.
چگونه امنیت خود را در برابر این تهدیدات حفظ نماییم؟
خبر خوب اینکه این بدافزارهای بانکی از هیچ ترفند پیشرفته ای برای ماندگاری بر روی دستگاه قربانی استفاده نمی کنند و چنانچه چنین نرم افزارهایی بر روی دستگاه شما نصب شد می توانید از طریق Settings > (General) > Application manager/Apps اپلیکیشن هایی با نام های StorySaver یا Crypto Monitor را بیاید و آن ها حذف نمایید.
خبر بد هم اینکه چنانچه این بدافزار بر روی دستگاه شما نصب شد و از هر یک از اپلیکیشن های بانکی هدف نیز استفاده نمایید، امکان دسترسی به حساب های بانکی شما برای مهاجمان تا قبل از حذف بدافزار مخرب وجود دارد.
توصیه می کنیم حساب های بانکی خود را موقع معاملات مشکوک با دقت بررسی کرده و عوض کردن مرتب رمزهای عبور خود را فراموش نکنید.
برای جلوگیری از خسارتهای ناشی از نرم افزارهای مخرب تلفن همراه، همیشه رتبه بندی برنامه ها و نظرات در مورد هر اپلیکیشن را بررسی کنید، به مجوزهایی که هنگام نصب به اپلکیشنها داده اید، توجه داشته باشید و از یک راه حل امنیتی مطمئن برای تشخیص و جلوگیری از تهدیدات استفاده کنید.
اپلیکیشن های بانکی مورد هدف مهاجمان
| App name | Package name |
| Alior Mobile | com.comarch.mobile |
| BZWBK24 mobile | pl.bzwbk.bzwbk24 |
| Getin Mobile | com.getingroup.mobilebanking |
| IKO | pl.pkobp.iko |
| Moje ING mobile | pl.ing.mojeing |
| Bank Millennium | wit.android.bcpBankingApp.millenniumPL |
| mBank PL | pl.mbank |
| BusinessPro | pl.bph |
| Nest Bank | pl.fmbank.smart |
| Bank Pekao | eu.eleader.mobilebanking.pekao |
| PekaoBiznes24 | eu.eleader.mobilebanking.pekao.firm |
| plusbank24 | eu.eleader.mobilebanking.invest |
| Mobile Bank | eu.eleader.mobilebanking.raiffeisen |
| Citi Handlowy | com.konylabs.cbplpat |
IoCs |
||
|---|---|---|
| Package Name | Hash | Phishing server |
| in.crypto.monitor.coins | 57A96D024E61F683020BE46173D74FAD4CF05806 | nelis.at |
| com.app.storysavernew | 757EA52DB39E9CDBF5E2E95485801E3E4B19020D | sdljfkh1313.win |
