حذر الباحثون بعد اكتشافه في العديد من تطبيقات مكافحة الفيروسات في أبريل، اخترق SharkBotDropper trojan مرة أخرى متجر Google Play.
وفقًا لتقرير جديد من Fox-IT، قسم من شركة الأمن NCC Group، تم العثور على تطبيقين إضافيين لمكافحة الفيروسات على نظام Android يحملان حصان طروادة، المصمم لسرقة بيانات اعتماد الخدمات المصرفية عبر الإنترنت.
يقول الباحثون إن ظهور SharkBot يشير إلى الخطوة التالية في لعبة القط والفأر بين المهاجمين الإلكترونيين وجوجل. لم تعد البرامج الضارة تعتمد على إساءة استخدام أذونات إمكانية الوصول لجهاز Android لتثبيت نفسها، ولكن يتم تسليمها عبر تحديث للتطبيقات الوهمية التالية:
- Mister Phone Cleaner (أكثر من 50000 تنزيل)
- Kylhavy Mobile Security (أكثر من 10000 تنزيل)
طروادة المصرفية على Android
إذا قام المستخدمون بتثبيت أي من هذه التطبيقات، فيمكن لـ Sharkbot اختراق تفاصيلهم المصرفية الخاصة بعدة طرق.
قد تقوم بحقن صفحة تسجيل دخول مزيفة عند فتح التطبيق المصرفي الرسمي. إذا حدث هذا، فقد يرى المستخدمون شاشة تبدو غير مألوفة، أو على الأقل تختلف قليلاً عن الواجهة العادية.
يُعرف SharkBot أيضًا بتسجيل ضغطات المفاتيح وإرسالها إلى خادم خارجي، وكذلك اعتراض الرسائل النصية وإخفائها. يمكنه أيضًا إرسال ردود على الرسائل النصية والفورية المستلمة، ونشر البرامج الضارة عبر رابط مختصر.
ربما تكون الطريقة الأكثر فاعلية التي يمكن أن يستخدمها Sharkbot لخرق بيانات الاعتماد المصرفية هي السماح للمهاجمين بالنقر عن بُعد على جهاز المستخدم، لملء نماذج المعاملات تلقائيًا داخل التطبيقات المصرفية وتعيين عمليات النقل.
لكي تعمل معظم هذه الميزات بشكل صحيح، يجب منح التطبيقات المصرفية أذونات الوصول. يجب على المستخدمين التحقق لمعرفة ما إذا تم تمكينها، وإذا كانت لا تزال هناك حاجة إليها، ففكر في إزالة تطبيقهم المصرفي على المدى القصير.
للحماية من مثل هذه الهجمات، يجب على المستخدمين إجراء عمليات فحص أمنية منتظمة باستخدام تطبيق مكافحة فيروسات حسن السمعة لنظام Android، والسماح له بإزالة أي تهديدات يجدها، مثل SharkBot.
إذا كان الجهاز المعني موجودًا داخل شبكة أكبر، فيجب على المستخدمين التفكير في الاستثمار في حماية نقطة النهاية لأعمالهم.
في هذه الأثناء، يجب على أولئك الذين ربما أصيبوا بالفعل من التطبيقات المخالفة، أولاً، إلغاء تثبيتها، والتوقف عن استخدام التطبيقات المصرفية حتى يتم إزالة التهديد.
تطور SharkBot
قد تشير ميزات تصميم SharkBot إلى حدوث تحول في الأساليب التي يستخدمها بعض المهاجمين الإلكترونيين، من إصابة أكبر عدد ممكن من الأجهزة إلى استهداف الأجهزة في مناطق محددة كجزء من الحملات الجيوسياسية.
استهدف وباء SharkBot في أبريل بشكل رئيسي المملكة المتحدة وإيطاليا، ولكن في أواخر أغسطس، وجدت Fox-IT أن إسبانيا وأستراليا وبولندا وألمانيا والنمسا والولايات المتحدة مستهدفة الآن أيضًا بواسطة خوادم القيادة والتحكم (C2s) الخاصة بـ SharkBot.
أشار تقرير منفصل تم نشره في أبريل من قبل Check Point Research إلى أن "Sharkbot لا يستهدف كل ضحية محتملة يواجهها، ولكن فقط يختار منها، باستخدام ميزة تحديد الموقع الجغرافي لتحديد المستخدمين من الصين والهند ورومانيا وتجاهلهم. أو روسيا أو أوكرانيا أو بيلاروسيا".
يمكن أن تكون هجمات البرامج الضارة مقلقة، خاصة عندما تكون الدوافع وراءها غير واضحة. وهذا هو سبب أهمية وجود أدوات إزالة البرامج الضارة في متناول اليد، وحظر التهديدات في الوقت الفعلي، حتى لا يضطر المستخدمون أبدًا للقلق بشأن هجوم ضار مرة أخرى.
وفقًا لتقرير جديد من Fox-IT، قسم من شركة الأمن NCC Group، تم العثور على تطبيقين إضافيين لمكافحة الفيروسات على نظام Android يحملان حصان طروادة، المصمم لسرقة بيانات اعتماد الخدمات المصرفية عبر الإنترنت.
يقول الباحثون إن ظهور SharkBot يشير إلى الخطوة التالية في لعبة القط والفأر بين المهاجمين الإلكترونيين وجوجل. لم تعد البرامج الضارة تعتمد على إساءة استخدام أذونات إمكانية الوصول لجهاز Android لتثبيت نفسها، ولكن يتم تسليمها عبر تحديث للتطبيقات الوهمية التالية:
- Mister Phone Cleaner (أكثر من 50000 تنزيل)
- Kylhavy Mobile Security (أكثر من 10000 تنزيل)
طروادة المصرفية على Android
إذا قام المستخدمون بتثبيت أي من هذه التطبيقات، فيمكن لـ Sharkbot اختراق تفاصيلهم المصرفية الخاصة بعدة طرق.
قد تقوم بحقن صفحة تسجيل دخول مزيفة عند فتح التطبيق المصرفي الرسمي. إذا حدث هذا، فقد يرى المستخدمون شاشة تبدو غير مألوفة، أو على الأقل تختلف قليلاً عن الواجهة العادية.
يُعرف SharkBot أيضًا بتسجيل ضغطات المفاتيح وإرسالها إلى خادم خارجي، وكذلك اعتراض الرسائل النصية وإخفائها. يمكنه أيضًا إرسال ردود على الرسائل النصية والفورية المستلمة، ونشر البرامج الضارة عبر رابط مختصر.
ربما تكون الطريقة الأكثر فاعلية التي يمكن أن يستخدمها Sharkbot لخرق بيانات الاعتماد المصرفية هي السماح للمهاجمين بالنقر عن بُعد على جهاز المستخدم، لملء نماذج المعاملات تلقائيًا داخل التطبيقات المصرفية وتعيين عمليات النقل.
لكي تعمل معظم هذه الميزات بشكل صحيح، يجب منح التطبيقات المصرفية أذونات الوصول. يجب على المستخدمين التحقق لمعرفة ما إذا تم تمكينها، وإذا كانت لا تزال هناك حاجة إليها، ففكر في إزالة تطبيقهم المصرفي على المدى القصير.
للحماية من مثل هذه الهجمات، يجب على المستخدمين إجراء عمليات فحص أمنية منتظمة باستخدام تطبيق مكافحة فيروسات حسن السمعة لنظام Android، والسماح له بإزالة أي تهديدات يجدها، مثل SharkBot.
إذا كان الجهاز المعني موجودًا داخل شبكة أكبر، فيجب على المستخدمين التفكير في الاستثمار في حماية نقطة النهاية لأعمالهم.
في هذه الأثناء، يجب على أولئك الذين ربما أصيبوا بالفعل من التطبيقات المخالفة، أولاً، إلغاء تثبيتها، والتوقف عن استخدام التطبيقات المصرفية حتى يتم إزالة التهديد.
تطور SharkBot
قد تشير ميزات تصميم SharkBot إلى حدوث تحول في الأساليب التي يستخدمها بعض المهاجمين الإلكترونيين، من إصابة أكبر عدد ممكن من الأجهزة إلى استهداف الأجهزة في مناطق محددة كجزء من الحملات الجيوسياسية.
استهدف وباء SharkBot في أبريل بشكل رئيسي المملكة المتحدة وإيطاليا، ولكن في أواخر أغسطس، وجدت Fox-IT أن إسبانيا وأستراليا وبولندا وألمانيا والنمسا والولايات المتحدة مستهدفة الآن أيضًا بواسطة خوادم القيادة والتحكم (C2s) الخاصة بـ SharkBot.
أشار تقرير منفصل تم نشره في أبريل من قبل Check Point Research إلى أن "Sharkbot لا يستهدف كل ضحية محتملة يواجهها، ولكن فقط يختار منها، باستخدام ميزة تحديد الموقع الجغرافي لتحديد المستخدمين من الصين والهند ورومانيا وتجاهلهم. أو روسيا أو أوكرانيا أو بيلاروسيا".
يمكن أن تكون هجمات البرامج الضارة مقلقة، خاصة عندما تكون الدوافع وراءها غير واضحة. وهذا هو سبب أهمية وجود أدوات إزالة البرامج الضارة في متناول اليد، وحظر التهديدات في الوقت الفعلي، حتى لا يضطر المستخدمون أبدًا للقلق بشأن هجوم ضار مرة أخرى.
