تروجان اندرویدی Marcher اطلاعات بانکی شما را به سرقت می برد

به تازگی یک تروجان اندرویدی به نام Marcher که به شدت در حال گسترش است و تاکنون ۱۱۰۰۰ دستگاه اندرویدی را آلوده کرده است، از طریق اپلیکیشن های محبوب ساختگی مانند واتس آپ به دستگاه ها نفوذ می کند و اطلاعات بانکی کاربران را به سرقت می برد.

به گزارش کلیک، محققان امنیتی به وجود یک تروجان اندرویدی در حال گسترش به نام Marcher پی برده اند که طریق حمله فیشینگ (روشی برای دست آوردن اطلاعاتی همچون نام کاربری، رمز عبور، اطلاعات حساب بانکی و غیره از طریق جعل یک وب سایت یا آدرس ایمیل) به دستگاه های اندرویدی، آن ها را آلوده می کند و اطلاعات بانکی کاربران را به سرقت می برد. محققان شرکت امنیتی Dutch این تروجان را مورد تحلیل و بررسی قرار داده اند و متوجه شده اند که اطلاعات بانکی زیادی توسط یک بات نت که به وسیله این تروجان هدایت می شده است، به سرقت رفته است.

این تروجان برای نخستین بار در سال ۲۰۱۳ ظهور پیدا کرد و با جعل صفحات گوگل پلی استور؛ کاربران را فریب می داد و تلاش می کرد اطلاعات مرتبط با کارت بانکی آن ها را دریافت کند. سپس این تروجان پا را فراتر را این گذاشت و سازمان و بانک ها را در کشورهای آلمان، فرانسه، استرالیا، آمریکا، انگلیس و چند کشور دیگر، مورد هدف خود قرار داد. اکنون نیز محققان امنیتی متوجه شده اند که ۹ بات نت (شبکه های تشکیل شده از چند کامپیوتر که برای اهداف مخرب به کار گرفته می شوند) بانک های کشورهای آلمان، فرانسه و استرالیا را مورد هدف قرار داده اند.

محققان اذعان کردند که آن ها بر اساس دستورالعمل های تروجان دریافته اند که ۹ تروجان فعال Marcher با بات نت های خود با پشتیبانی ایجاد کنندگان اصلی تروجان به همراه مدوله های جدید (بخشی هایی از یک برنامه) و فایل های HTML در بردارنده اطلاعات بانک های قربانی (که تحت عنوان webinjects شناخته می شوند)، هر هفته اهداف مخرب خود را عملی می کردند. طبق گفته محققان، این تروجان تاکنون توانسته است ۱۱۰۰۰ دستگاه اندرویدی را آلوده کند. از این تعداد، ۵۶۹۶ دستگاه در آلمان و ۲۱۹۸ دستگاه در فرانسه آلوده شده اند. بیشتر دستگاه هایی که قربانی این تروجان شده اند، دارای اندروید مارشمالو ۶٫۰٫۱ بوده اند. محققان با ارزیابی یک سرور C2 (سرور Command و Control که هکرها برای برقراری ارتباط با سیستم های تحت کنترل خود، از آن استفاده می کنند)، متوجه شدند که این تروجان موفق شده است ۱۳۰۰۰ شماره کارت بانکی به همراه اطلاعات بانکی دیگر را به دست آورد.

نحوه عملکرد تروجان

این تروجان ابتدا به شکل چندین اپلیکیشن محبوب مانند نتفلکیس، واتس آپ و سوپر ماریو ران ظاهر می شود. Marcher با یک حمله فیشینگ از طریق SMS یا MMS که در بردارنده لینکی مرتبط با یک اپلیکیشن محبوب ساختگی است، کار خود را آغاز می کند. برای محفوظ ماندن از خطر این تروجان، می توانید گزینه Unknown resources را در تنظیمات گوشی خود غیر فعال کنید که باعث می شود اپلیکیشن هایی را از منابع ناشناش و غیر معتبر دریافت شده اند، بر روی دستگاه نصب نشوند؛ بنابراین تروجان Marcher کار زیادی نمی تواند انجام دهد؛ البته لازم به ذکر است معمولا نرم افزارهایی که آلوده به بدافزارها هستند و توسط آن ها هدایت می شوند، در گوگل پلی استور شناسایی می شوند؛ بنابراین بهتر است از انتخاب لینک های مشکوک خودداری کنید (حتی اگر این لینک ها از طرف افراد و منابع قابل اعتماد برای شما ارسال شده باشند) و فقط به اپلیکیشن های گوگل پلی استور اعتماد کنید.

چنانچه بر روی لینکی از یک منبع غیر قابل اعتماد کلیک کنید، هنگامی که اپلیکیشن دریافت و نصب شد، از شما می خواهد به قسمت SMS های ذخیره شده و سایر قسمت های مهم و اصلی دستگاه اندرویدی شما مانند Device administration دسترسی پیدا کند تا وضعیت اتصال اینترنت دستگاه را تغییر دهد، پیام متنی ارسال کند و یا دستگاه را قفل کند. در این زمان است که بدافزار کار خود را شروع می کند و کارهای همچون راه اندازی دستگاه، ویرایش و حذف پیام ها و سایر موارد را انجام می دهد.

یک لایه حفاظتی دوم نیز برای مقابله با این بدافزار وجود دارد؛ اما در صورتی که کاربر فریب بخورد و اپلیکیشنی را دانلود و نصب کند، احتمالا امکان دسترسی بدافزار به تمام قسمت های گوشی را فراهم می کند.

همچنین محققان اذعان کردند که هکرها برای آلوده کردن دستگاه ها از سرویس های ارائه دهنده محتوای غیر اخلاقی مانند Adobe Flash نیز استفاده کرده اند.

هنگامی که تروجان Marcher موفق شد به دستگاه نفوذ پیدا کند، حمله خود را به دو روش اصلی آغاز می کند.

Marcher در نخستین روش حمله خود، با ارسال یک SMS از روش امنیتی تشخیص دو مرحله ای تحت عنوان out of band authentication مورد استفاده توسط بانک های آنلاین که بر پایه ارسال SMS ایجاد شده است، سوء استفاده می کند.

دومین روش کسب اطلاعات توسط این تروجان این است که هنگامی که اپلیکیشن آلوده اجرا می شود، یک صفحه ساختگی ایجاد می کند (همانند صفحه ورود در یک اپلیکیشن همراه بانک) که در اغلب موارد ظاهر آن کاملا شبیه به صفحه اصلی است و جعلی بودن آن قابل تشخیص نیست و به این صورت به اطلاعات بانکی فرد قربانی دست پیدا می کند؛ به عبارت دیگر هر زمانی که اپلیکیشن آلوده با موفقیت نصب شد، اطلاعات بانکی مهم شما در معرض خطر جدی قرار می گیرد.

اپلیکیشن های آنتی ویروس هیچ کمکی به شما نمی کنند

تصور نکنید که در صورت نصب اپلیکیشن های آنتی ویروس، از خطر این تروجان در امان خواهید ماند. متاسفانه حتی به روزترین اپلیکیشن های آنتی ویروس نیز نمی توانند این تروجان را شناسایی کنند. محققان اذعان کرده اند که این تروجان دربردارنده تعدادی از اپلیکیشن های آنتی ویروس است که مانع حذف این بدافزار می شوند.

این تکنیک تروجان کاملا ساده است. تروجان اپلیکیشن های آنتی ویروسی را که در لیست خود دارد، جستجو می کند و در صورتی که متوجه شد یکی از این اپلیکیشن ها در حال اجرا است ، فعالیت آن را متوقف می کند و گوشی یا تبلت را به صفحه اصلی باز می گرداند. حتی در صورتی که آنتی ویروسی موفق به شناسایی این تروجان شود، برای حذف آن از کاربر اجازه می خواهد؛ اما به دلیل اینکه کاربر نمی تواند اجازه این کار را به اپلیکیشن بدهد، بدافزار حذف نخواهد شد. اپلیکیشن های آنتی ویروس Kaspersky ،Avast ،AVG ،norton ،Avira ،CCleaner و چندین اپلیکیشن دیگر از جمله اپلیکیشن هایی هستند که Marcher مانع فعالیت آن ها می شود و یا آن ها را دور می زد.

یک دیدگاه