تصف مجموعة الأبحاث التي تتخذ من سنغافورة مقراً لها ، برنامج وحش العراب الخبيث المستخدم لاستهداف أكثر من 400 من تطبيقات التكنولوجيا المالية ، وتبادل العملات المشفرة ، والمحافظ في أكثر من 16 دولة.
بشكل مفصل تقرير، Group-IB أنه يمكن للمتسللين سرقة معلومات تسجيل الدخول للخدمات المصرفية عبر الإنترنت وغيرها الخدمات المالية باستخدام برنامج العراب الخبيث ، مما يمكنهم من إفراغ حسابات الضحايا. المؤسسات المالية في المملكة المتحدة هي الأكثر تضررا من بين 400 ضحية ، حيث وقعت الهجمات خلال الأشهر الثلاثة الماضية.
لكل مجموعة IB ، كان نصف الأهداف عبارة عن مؤسسات مالية. 17 في المملكة المتحدة ، و 49 في الولايات المتحدة ، و 31 في تركيا ، و 30 في إسبانيا. الضحايا الباقون هم في كندا وفرنسا وألمانيا وإيطاليا وبولندا.
العراب طروادة: كيف يعمل
يعد حصان طروادة المصرفي الذي يعمل بنظام Android خليفة متجددًا لبرنامج Anubis ، والذي تسبب أيضًا في الكثير من الضرر للنظام البيئي في عام 2019. وتتمثل أوجه التشابه بين هذين البرنامجين الضارين في طرقهما في الحصول على عنوان C2 وتنفيذ أوامر C2 واستخدام الوحدات النمطية للشاشة إلتقاط، الوكيل، وانتحال الويب. ومع ذلك ، فإن القدرة على تسجيل الصوت ، وتتبع موقعك ، وتجاوز المصادقة الثنائية متاحة فقط في برنامج Godfather الضار.
يتم إخفاء برنامج Godfather الضار في تطبيقات Android المعروضة على متجر Play. يتم إخفاء الشفرة الخبيثة للحمولة لتشبه Google Protect. تفحص هذه الخدمة التطبيقات بحثًا عن سلوكيات قد تكون خطرة. بعد إطلاقه من قبل المستخدم ، يقلد البرنامج الضار برنامج Google أصليًا. تُظهر الرسوم المتحركة عبارة "تحمي Google" ، ولكن لا يوجد أي منها.
عند تثبيت تطبيق Vector من متجر Play ، البرنامج الضار أذونات نفسها في نظام الضحية. يقوم بإنشاء اتصال مع أوامره وخادم التحكم الخاص به ، وإرسال جميع بيانات الضحية. قد يلاحظ المستهدفون هذه التطورات فقط بمجرد أن يخسروا الأموال ويجدون صعوبة في سحب أو تعطيل التطبيق المصرح به.
قال Artem Grischenko ، محلل البرمجيات الخبيثة الصغير في Group-IB ، إن العلاقات بين العراب وأنوبيس تشير إلى أن مجرمي الإنترنت ينموون في التطور. هناك حاجة للمطورين والمديرين لتحديث بنيتهم التحتية لأن من يقف وراء العراب حصان طروادة لا يزال بإمكانه فعل المزيد.
يُظهر الجزء النهائي من البحث أيضًا أن البلدان التي لها علاقات بالاتحاد السوفياتي البائد مفقودة تمامًا من قائمة الضحايا ورتبهم. أ سطر من التعليمات البرمجية في حصان طروادة يقال إنه يغلق العمليات بمجرد أن يلاحظ اللغات الروسية أو المولدوفية أو القرغيزية أو الأذربيجانية أو الكازاخستانية أو الأرمنية أو الطاجيكية أو الأوزبكية. يلمح الباحثون إلى إمكانية وجود حرب الكترونية.
المصدر: https://crypto.news/android-trojan-targets-over-400-apps-including-crypto-and-fintech/