نسخه جدید بدافزار بانکی RedHook با قابلیتهایی پیشرفتهتر شناسایی شده است؛ بدافزاری که اینبار تنها به سرقت اطلاعات کاربران بسنده نمیکند و میتواند کنترل بخش مهمی از گوشیهای اندرویدی را در اختیار بگیرد. پژوهشگران امنیتی هشدار دادهاند که این بدافزار با سوءاستفاده از قابلیت Wireless ADB، دسترسی گستردهای به دستگاه قربانی پیدا کرده و امکان سرقت اطلاعات مالی و تخلیه حسابهای بانکی را فراهم میکند.
بر اساس گزارشی که شرکت امنیت سایبری Group-IB منتشر کرده، نسخه جدید RedHook ابتدا کاربران ویتنام را هدف قرار داد و اکنون فعالیت آن به اندونزی نیز گسترش یافته است. این بدافزار از ابزار Wireless ADB، که معمولاً برای توسعهدهندگان و عیبیابی دستگاههای اندرویدی مورد استفاده قرار میگیرد، سوءاستفاده میکند تا سطح دسترسی خود را به شکل قابلتوجهی افزایش دهد.
RedHook چگونه کنترل گوشی را در دست میگیرد؟
بدافزار RedHook نخستینبار در تیر ۱۴۰۴ توسط شرکت Cyble بهعنوان یک تروجان بانکی معرفی شد که وظیفه آن ثبت کلیدهای فشردهشده و نظارت بر صفحه نمایش کاربران بود. اما بررسیهای جدید Group-IB نشان میدهد این بدافزار اکنون به قابلیتهای بسیار خطرناکتری مجهز شده است.
روش نفوذ همچنان بر پایه مهندسی اجتماعی انجام میشود. کلاهبرداران با تماس تلفنی، پیامک یا پیامرسانها خود را کارمند بانک یا یکی از نهادهای دولتی معرفی کرده و کاربر را متقاعد میکنند فایل نصب (APK) را از وبسایتی دانلود کند که ظاهری مشابه فروشگاه Google Play دارد.
پس از نصب برنامه، RedHook از کاربر مجوز Accessibility را درخواست میکند. دریافت این مجوز به بدافزار اجازه میدهد بدون دخالت کاربر وارد تنظیمات توسعهدهندگان (Developer Options) شود، قابلیت Wireless Debugging را فعال کند و دستگاه را مانند یک رایانه مجاز با ADB جفت (Pair) کند. در نتیجه، بدافزار به سطح دسترسی Shell دست پیدا میکند؛ سطحی که برنامههای عادی اندروید هرگز به آن دسترسی ندارند.

چه کسانی بیشتر در معرض خطر هستند؟
کاربرانی که برنامهها را خارج از فروشگاه رسمی Google Play نصب میکنند، بیش از دیگران در معرض این حمله قرار دارند. تا زمانی که کاربران تنها از فروشگاه رسمی گوگل استفاده کرده و قابلیت Google Play Protect را فعال نگه دارند، احتمال آلوده شدن به این بدافزار به میزان قابلتوجهی کاهش پیدا میکند.
محققان Group-IB همچنین اعلام کردهاند که RedHook برای باقی ماندن در گوشی قربانی، از روشهای مختلفی استفاده میکند. این بدافزار با پخش بیصدای فایل صوتی، جلوگیری از ورود پردازنده به حالت خواب و اجرای همزمان دو سرویس که یکدیگر را در صورت توقف دوباره فعال میکنند، تلاش میکند حذف یا غیرفعال نشود.
آیا کاربران آیفون نیز در معرض این تهدید هستند؟
کارشناسان امنیتی تأکید میکنند این حمله به همان شکل روی آیفون قابل اجرا نیست؛ زیرا سیستمعامل iOS دسترسی مشابه Wireless ADB را در اختیار برنامههای نصبشده قرار نمیدهد. البته این موضوع به معنای مصون بودن کاربران آیفون از سایر روشهای کلاهبرداری یا حملات مهندسی اجتماعی نیست.
گوگل چه راهکاری ارائه کرده است؟
گوگل در حال توسعه قابلیت Advanced Protection Mode است؛ قابلیتی که انتظار میرود در آینده امکان دسترسی به تنظیمات توسعهدهندگان را برای کاربرانی که آن را فعال میکنند، محدود کند. هرچند این ویژگی هنوز بهطور گسترده در دسترس قرار نگرفته، اما میتواند یکی از راهکارهای مؤثر برای مقابله با حملاتی مانند RedHook باشد.
چگونه از گوشی خود در برابر RedHook محافظت کنیم؟
کارشناسان امنیت سایبری برای کاهش خطر آلودگی به این بدافزار چند توصیه مهم ارائه کردهاند:
- برنامهها را فقط از Google Play یا سایر فروشگاههای معتبر دانلود و نصب کنید.
- بدون دلیل منطقی، مجوز Accessibility را در اختیار هیچ برنامهای قرار ندهید.
- تماسها یا پیامکهای ناگهانی که از سوی بانک یا سازمانهای مختلف ارسال میشوند و شما را به انجام اقدام فوری ترغیب میکنند، مشکوک تلقی کنید.
- هر از گاهی تنظیمات Developer Options را بررسی کنید و مطمئن شوید قابلیت Wireless Debugging بدون اطلاع شما فعال نشده باشد.
- قابلیت Google Play Protect را همیشه فعال نگه دارید تا برنامههای مخرب بهصورت خودکار شناسایی شوند.
RedHook؛ نسل جدید تروجانهای بانکی
کارشناسان معتقدند RedHook نشاندهنده روند جدیدی در تکامل بدافزارهای اندرویدی است. برخلاف نمونههای قدیمی که تنها اطلاعات کاربران را جمعآوری میکردند، این نسل از بدافزارها تلاش میکنند کنترل مستقیم دستگاه را به دست بگیرند. پیش از این نیز بدافزارهایی مانند Vultur و Brokewell با سوءاستفاده از مجوز Accessibility مسیر مشابهی را دنبال کرده بودند.
به اعتقاد پژوهشگران، محدود شدن دسترسیهای حساس در اندروید، بهویژه مجوز Accessibility و تنظیمات توسعهدهندگان، میتواند نقش مهمی در جلوگیری از گسترش چنین حملاتی داشته باشد. تا زمان ارائه راهکارهای امنیتی جدید از سوی گوگل، مهمترین سد دفاعی کاربران، دانلود برنامهها از منابع معتبر و دقت در برابر ترفندهای مهندسی اجتماعی خواهد بود.



