اندروید

بدافزار جدید اندروید با دسترسی کامل به گوشی، حساب بانکی کاربران را هدف گرفت

نسخه جدید بدافزار بانکی RedHook با قابلیت‌هایی پیشرفته‌تر شناسایی شده است؛ بدافزاری که این‌بار تنها به سرقت اطلاعات کاربران بسنده نمی‌کند و می‌تواند کنترل بخش مهمی از گوشی‌های اندرویدی را در اختیار بگیرد. پژوهشگران امنیتی هشدار داده‌اند که این بدافزار با سوءاستفاده از قابلیت Wireless ADB، دسترسی گسترده‌ای به دستگاه قربانی پیدا کرده و امکان سرقت اطلاعات مالی و تخلیه حساب‌های بانکی را فراهم می‌کند.

بر اساس گزارشی که شرکت امنیت سایبری Group-IB منتشر کرده، نسخه جدید RedHook ابتدا کاربران ویتنام را هدف قرار داد و اکنون فعالیت آن به اندونزی نیز گسترش یافته است. این بدافزار از ابزار Wireless ADB، که معمولاً برای توسعه‌دهندگان و عیب‌یابی دستگاه‌های اندرویدی مورد استفاده قرار می‌گیرد، سوءاستفاده می‌کند تا سطح دسترسی خود را به شکل قابل‌توجهی افزایش دهد.

RedHook چگونه کنترل گوشی را در دست می‌گیرد؟

بدافزار RedHook نخستین‌بار در تیر ۱۴۰۴ توسط شرکت Cyble به‌عنوان یک تروجان بانکی معرفی شد که وظیفه آن ثبت کلیدهای فشرده‌شده و نظارت بر صفحه نمایش کاربران بود. اما بررسی‌های جدید Group-IB نشان می‌دهد این بدافزار اکنون به قابلیت‌های بسیار خطرناک‌تری مجهز شده است.

روش نفوذ همچنان بر پایه مهندسی اجتماعی انجام می‌شود. کلاهبرداران با تماس تلفنی، پیامک یا پیام‌رسان‌ها خود را کارمند بانک یا یکی از نهادهای دولتی معرفی کرده و کاربر را متقاعد می‌کنند فایل نصب (APK) را از وب‌سایتی دانلود کند که ظاهری مشابه فروشگاه Google Play دارد.

پس از نصب برنامه، RedHook از کاربر مجوز Accessibility را درخواست می‌کند. دریافت این مجوز به بدافزار اجازه می‌دهد بدون دخالت کاربر وارد تنظیمات توسعه‌دهندگان (Developer Options) شود، قابلیت Wireless Debugging را فعال کند و دستگاه را مانند یک رایانه مجاز با ADB جفت (Pair) کند. در نتیجه، بدافزار به سطح دسترسی Shell دست پیدا می‌کند؛ سطحی که برنامه‌های عادی اندروید هرگز به آن دسترسی ندارند.

اندروید

چه کسانی بیشتر در معرض خطر هستند؟

کاربرانی که برنامه‌ها را خارج از فروشگاه رسمی Google Play نصب می‌کنند، بیش از دیگران در معرض این حمله قرار دارند. تا زمانی که کاربران تنها از فروشگاه رسمی گوگل استفاده کرده و قابلیت Google Play Protect را فعال نگه دارند، احتمال آلوده شدن به این بدافزار به میزان قابل‌توجهی کاهش پیدا می‌کند.

محققان Group-IB همچنین اعلام کرده‌اند که RedHook برای باقی ماندن در گوشی قربانی، از روش‌های مختلفی استفاده می‌کند. این بدافزار با پخش بی‌صدای فایل صوتی، جلوگیری از ورود پردازنده به حالت خواب و اجرای هم‌زمان دو سرویس که یکدیگر را در صورت توقف دوباره فعال می‌کنند، تلاش می‌کند حذف یا غیرفعال نشود.

آیا کاربران آیفون نیز در معرض این تهدید هستند؟

کارشناسان امنیتی تأکید می‌کنند این حمله به همان شکل روی آیفون قابل اجرا نیست؛ زیرا سیستم‌عامل iOS دسترسی مشابه Wireless ADB را در اختیار برنامه‌های نصب‌شده قرار نمی‌دهد. البته این موضوع به معنای مصون بودن کاربران آیفون از سایر روش‌های کلاهبرداری یا حملات مهندسی اجتماعی نیست.

گوگل چه راهکاری ارائه کرده است؟

گوگل در حال توسعه قابلیت Advanced Protection Mode است؛ قابلیتی که انتظار می‌رود در آینده امکان دسترسی به تنظیمات توسعه‌دهندگان را برای کاربرانی که آن را فعال می‌کنند، محدود کند. هرچند این ویژگی هنوز به‌طور گسترده در دسترس قرار نگرفته، اما می‌تواند یکی از راهکارهای مؤثر برای مقابله با حملاتی مانند RedHook باشد.

چگونه از گوشی خود در برابر RedHook محافظت کنیم؟

کارشناسان امنیت سایبری برای کاهش خطر آلودگی به این بدافزار چند توصیه مهم ارائه کرده‌اند:

  • برنامه‌ها را فقط از Google Play یا سایر فروشگاه‌های معتبر دانلود و نصب کنید.
  • بدون دلیل منطقی، مجوز Accessibility را در اختیار هیچ برنامه‌ای قرار ندهید.
  • تماس‌ها یا پیامک‌های ناگهانی که از سوی بانک یا سازمان‌های مختلف ارسال می‌شوند و شما را به انجام اقدام فوری ترغیب می‌کنند، مشکوک تلقی کنید.
  • هر از گاهی تنظیمات Developer Options را بررسی کنید و مطمئن شوید قابلیت Wireless Debugging بدون اطلاع شما فعال نشده باشد.
  • قابلیت Google Play Protect را همیشه فعال نگه دارید تا برنامه‌های مخرب به‌صورت خودکار شناسایی شوند.

RedHook؛ نسل جدید تروجان‌های بانکی

کارشناسان معتقدند RedHook نشان‌دهنده روند جدیدی در تکامل بدافزارهای اندرویدی است. برخلاف نمونه‌های قدیمی که تنها اطلاعات کاربران را جمع‌آوری می‌کردند، این نسل از بدافزارها تلاش می‌کنند کنترل مستقیم دستگاه را به دست بگیرند. پیش از این نیز بدافزارهایی مانند Vultur و Brokewell با سوءاستفاده از مجوز Accessibility مسیر مشابهی را دنبال کرده بودند.

به اعتقاد پژوهشگران، محدود شدن دسترسی‌های حساس در اندروید، به‌ویژه مجوز Accessibility و تنظیمات توسعه‌دهندگان، می‌تواند نقش مهمی در جلوگیری از گسترش چنین حملاتی داشته باشد. تا زمان ارائه راهکارهای امنیتی جدید از سوی گوگل، مهم‌ترین سد دفاعی کاربران، دانلود برنامه‌ها از منابع معتبر و دقت در برابر ترفندهای مهندسی اجتماعی خواهد بود.

دیدگاه‌ خود را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

به بالا بروید