بد افزار Anubis اطلاعات مالی شما را به سرقت میبرد

بد افزار Anubis اطلاعات مالی شما را به سرقت میبرد

کاربران اندروید توسط یک کمپین حملات فیشینگ تحت تاثیر قرار گرفتند که دستگاه های اندروید را با تروجان Anubis هدف قرار میدهد که تمامی اطلاعات بانکی و مالی و بیش از 250 ترا کنش مالی را به سرقت میبرد.

Phishing Attack Disables Google Play Protect, Drops Anubis Trojan

کاربران اندروید توسط یک کمپین حملات فیشینگ تحت تاثیر قرار گرفتند که دستگاه های اندروید را با تروجان Anubis هدف قرار میدهد که تمامی اطلاعات بانکی و مالی و بیش از 250 ترا کنش مالی را به سرقت میبرد.

این کمپین از یک روش خاص برای قربانیان استفاده میکند و آن این است که یک بد افزار را بر روی دستگاه های اندروید خود نصب میکنند و سپس از آنان میخواهد که قابلیت گوگل پلی را فعال کند در حالی که در واقع این ماژول محافظتی را غیر فعال میکند و دسترسی های غیرمجاز را به دست می آورد.

برای دریافت این بد افزار، مهاجمان از یک لینک آلوده استفاده میکنند که درآن یک فایل نصبی با پسوند APK نیز وجود دارد.

پس از اینکه نرم افزار آلوده میپرسد که آیا میخواهید گوگل پلی را فعال کنید و سپس فایل دانلود شده را نصب کنید، دستگاه قربانی با تروجان Anubis آلوده میشود.

Google Play Protect lure

این بد افزار اساسا نرم افزار های بانکی و مالی را هدف قرار میدهد ولی همچنین به دنبال نرم افزار های خرید معروف همچون آمازون و ای بی نیز میگردد.

به محض اینکه یک نرم افزار شناسایی شد، Anubis با یک صفحه ی جعلی نام کاربری و رمز عبور پیش از اجرای آن نرم افزار لانچ میشود تا اطلاعات کاربری فرد را به سرقت ببرد.

پس از تحلیل و آنالیز سورس کد های بد افزار مشخص شد که ای تروجان بانکی قابلیت های بسیار زیادی را دارد:

  • - گرفتن اسکرین شات
  • - غیر فعال کردن تنظیمات و دسترسی ادمین
  • - غیرفعال کردن محافظت گوگل پلی برای اندروید
  • - ضبط صدا
  • - گرفتن تماس و ارسال پیامک
  • - سرقت لیست مخاطبین
  • - دریافت فرمان های مختلف از طریق اپراتور های بد افزار از طریق تلگرام و توییتر
  • - کنترل دستگاه از طریق VNC
  • - باز کردن URL
  • - قفل صفحه ی دستگاه
  • - دریافت اطلاعات دستگاه و لوکیشن

همچنین این بد افزار به همراه یک ماژول Keylogger نیز میباشد که میتواند تمامی کلید های استفاده شده از هر نرم افزاری که روی دستگاه آلوده شده باشد را دریافت کند.

البته، این ماژول میبایست منحصرا توسط خود مهاجم از طریق ارسال یک فرمان از طریق سرور C2 فعال شود.

افزونه ی باج افزار

به غیر از همه ی این موارد، Anubis همچنین قابلیت رمزنگاری فایل ها بر روی حافظه ی داخلی را دارد که در نهایت فایل ها را با پسوند .AnubisCrypt رمز نگاری میکنند و برای سرور C2 مخصوص خود ارسال میکنند.

AnubisCrypt encrypted files

طبق گزارشات، این نسخه از این بد افزار Anubis به گونه ای طراحی شده است که بر روی نسخه های اندروید موثر است چرا که از نسخه ی 4.0.3 آن که سال 2012 شروع شد مشغول به کار است.

محققان Trend Micro همچنین در ژانویه 2019 مشخص کردند که این تروجان 377 نرم افزار بانکی از 93 کشور مختلف را مورد هدف قرار داده است.

منبع: www.bleepingcomputer.com