بدافزار جدید اندروید حساب‌های بانکی را هدف قرار می‌دهد

براساس گزارش روز دوشنبه شرکت امنیتی کسپرسکی (Kaspersky)‌، احتمال می‌رود که بدافزار بانکی جدید را همان گروه سازنده‌ی بدافزار ویندوزی Astaroth ساخته باشد. به‌گفته‌ی کسپرسکی، بدافزار جدید در برنامه‌های مخرب اندروید و وب‌سایت‌ها و سرورهایی که قبلا به‌منظور انتشار بدافزار Astaroth استفاده می‌شد، برای بارگیری ارائه شده است. همچنین، توزیع آن هرگز ازطریق فروشگاه رسمی گوگل، یعنی پلی استور، انجام نشده است. در‌مقابل، گروه Ghimob از ایمیل‌ها یا سایت‌های مخرب برای هدایت کاربران به وب‌سایت‌هایی استفاده کرده است که برنامه‌های اندرویدی ارائه می‌دهند.

برنامه‌های مخرب برای جذب کاربران از نام‌های شرکت‌ها و برنامه‌های معروف مانند Google Defender ،Google Docs ،WhatsApp Updater و Flash Update استفاده می‌کنند. اگر کاربران با وجود همه‌ی هشدارهای امنیتی، در نصب برنامه‌های ذکرشده بی‌دقتی کنند، برنامه‌های مخرب به‌عنوان آخرین مرحله در روند آلودگی، از کاربران درخواست دسترسی به سرویس‌ها را می‌کنند. درصورتی‌که این اجازه داده شود، برنامه‌ها در تلفن آلوده به‌دنبال فهرستی از ۱۵۳ برنامه هستند و سعی می‌کنند کاربران را وارد صفحات جعلی کنند و اعتبار آن‌ها را بدزدند.

بیشتر حملات هدفمند به برنامه‌های بانکی کشور برزیل انجام شده است؛ اما به‌گفته‌ی کسپرسکی، بدافزار Ghimob در حال گسترش خود به کشور‌هایی چون آلمان، پرو، پرتغال و پاراگوئه است.

Ghimob برای دستیابی به حساب‌ها و برنامه‌‌های مبادله‌ی ارز رمزنگاری‌شده به‌منظور سرقت از آن‌ها تلاش می‌کند. همچنین به‌گفته‌ی داده‌های آماری، این بدافزار به‌آرامی به‌سمت صاحبان ارزهای رمزپایه تغییر یافته است. پس از موفقیت هرگونه اقدام فیشینگ، تمام مدارک جمع‌آوری‌شده به باند Ghimob ارسال می‌شود و سپس به حساب قربانی دسترسی پیدا و معاملات غیرقانونی را آغاز می‌کنند.

درصورت محافظت از حساب‌ها با اقدامات امنیتی سخت‌گیرانه، گروه Ghimob از کنترل کامل خود روی دستگاه ازطریق دسترسی به سرویس‌هایی که خود قربانی به آن‌ها داده است، برای پاسخ‌گویی به هرگونه کاوشگر امنیتی و اعلان‌های نشان‌داده‌شده استفاده می‌کند. ویژگی‌های Ghimob منحصر‌به‌فرد نیستند. درواقع، رفتارهای سایر بدافزارهای بانکی اندروید، مانند BlackRock یا Alien را کپی می‌کنند.