کشف بدافزاری که بجای شما به مخاطب هایتان پیام می دهد
وب کنفرانس: یک بدافزار جدید اندرویدی با آلوده کردن گوشیها، لینک های مخرب را به تمامی مخاطبین فرد ارسال می کند. این بدافزار در درجه اول کاربران روسیه را هدف قرار داده، اما شرکت امنیت سایبری Zimperium می گوید هکرها درحال توسعه سریع روش های حمله خود هستند.
تینا مزدکی_شرکت امنیت سایبری Zimperium درباره ی بدافزار جدیدی به نام «ClayRat» گوشزد نمود که می تواند از گوشیهای آلوده جاسوسی کرده و اطلاعات آنها را سرقت کند. این بدافزار پیام های متنی (SMS) را رهگیری می کند و از تماس ها گزارش می گیرد، علاوه بر این گفته می شود که به ضورت مخفیانه عکس می گیرد.
این بدافزار همینطور از گوشی آلوده برای هدف قرار دادن قربانیان بیشتر استفاده می نماید. Zimperium توضیح داد که «ClayRat با ارسال لینک های مخرب به تمامی مخاطبین ذخیره شده در گوشی قربانی، بطور تهاجمی منتشر می شود و در عمل هر دستگاه آلوده را به یک هاب توزیع تبدیل میکند.» به همین دلیل، به نظر می آید این بدافزار با سرعتی نگران کننده درحال گسترش است و Zimperium تنها در سه ماه گذشته، بیشتر از ۶۰۰ نمونه از آنرا مشاهده کرده است.
روش های فریب کاربران هم اکنون، ClayRat عمدتا کاربران روسیه را هدف قرار داده است. هکرها برای فریب کاربران و ترغیب آنها به نصب بدافزار، از برنامه پیامرسان تلگرام و وبسایت های جعلی که خویش را به عنوان برندهای معروف جا می زنند، استفاده می نمایند. این بدافزار در پوشش اپلیکیشن های محبوبی مانند TikTok، YouTube و Google Photos ظاهر می شود. به عنوان مثال، Zimperium متوجه شد که این بدافزار از راه یک وبسایت جعلی اما رسمی به نام YouTube Plus درحال گسترش است.
Zimperium گفته است برای افزایش موفقیت در نصب، بدافزار اغلب با دستورالعمل های ساده و گام به گام هم راه است که کاربران را تشویق می کند تا هشدارهای امنیتی داخلی اندروید را دور بزنند. اپراتورهای این حمله همینطور با استفاده از شواهد اجتماعی ساختگی، همچون نظرات مثبت جعلی، افزایش غیرواقعی تعداد دانلودها و گواهی های دروغین کاربران، کانال های تلگرامی خویش را تقویت می کنند تا از شک و تردید کاربران بکاهند.
دور زدن امنیت اندروید و سوءاستفاده از اعتماد بصورت پیش فرض، اندروید می تواند در مورد نصب برنامه های دانلود شده از خارج از Google Play Store اخطار دهد و از نصب آنها پیشگیری کند. برای غلبه بر این محدودیت، بدافزار می تواند صفحه بروزرسانی جعلی Google Play را نمایش دهد تا کاربر فریب خورده و برنامه ناشناس را نصب کند.
اگر کاربر فریب خورده و ClayRat را نصب کند، بدافزار درخواست مجوزهای پیامکی (SMS privileges) را می کند. بعد از دریافت این مجوزها، بدافزار می تواند کنترل پیام های متنی را به دست گرفته و به تمام مخاطبین تلفن پیام ارسال نماید. این پیام های ارسالی شامل یک پیام متنی با عبارت روسی "به معنای "اولین نفر باش که می فهمی!" به همراه یک لینک مخرب است که برای فریب بیشتر کاربران برای نصب بدافزار طراحی شده است.
بگفته Zimperium از آنجا که این پیام ها به نظر می آید از یک منبع مورد اعتماد ارسال شده اند، احتمال کلیک کردن گیرندگان روی لینک، پیوستن به همان کانال تلگرام یا بازدید از همان سایت فیشینگ بسیار بیشتر است. بنابراین، هر دستگاه آلوده به یک گره توزیع تبدیل می شود و سبب گسترش تصاعدی بدافزار بدون احتیاج به زیرساخت جدید، می شود.
Zimperium نام این بدافزار را ClayRat گذاشته است؛ برای اینکه سازنده آن در صورت کوشش برای ورود به سرور فرماندهی و کنترل (Command-and-control server) بدافزار، این نام را نمایش می دهد. این شرکت یافته های خویش را با گوگل به اشتراک گذاشته است و اعلام نموده که این همکاری اطمینان می دهد که کاربران اندروید هم بطور خودکار در مقابل نسخه های شناخته شده ClayRat از راه Google Play Protect، که سرویس پیش گیری از بدافزار داخلی در گوشیهای اندرویدی است، محافظت می شوند.
منبع: pcmag
منبع: وب كنفرانس
این مطلب را می پسندید؟
(1)
(0)
تازه ترین مطالب مرتبط
نظرات بینندگان در مورد این مطلب