تروجان «توردو» در کمین اطلاعات بانکی
تروجان «توردو» که مختص سرقت اطلاعات بانکی است با بارگذاری برنامهها از فروشگاههای غیرمعتبر امکان آلودگی و حمله را فراهم میکند.
کد خبر :
606547
روزنامه ایران: تروجان «توردو» که مختص سرقت اطلاعات بانکی است با بارگذاری برنامهها از فروشگاههای غیرمعتبر امکان آلودگی و حمله را فراهم میکند.
به گزارش ایسنا، در سیستم عامل اندروید دسترسی برنامههای عادی به منابع سیستمی محدود شده و برای دسترسی به اینگونه منابع نیاز به سطح دسترسی SuperUser است. رسیدن به این سطح دسترسی با روشهای خاصی امکانپذیر است، ولی در صورتی که برنامهای قابلیت دسترسی به این سطح را پیدا کند، به دلیل اینکه به همه منابع سیستم دسترسی خواهد داشت بسیار خطرناک خواهد بود.
این نرمافزارها در نگاه اول نرمافزارهای سالمی هستند که پس از نصب سعی در به دست آوردن سطح دسترسی بالا و ایجاد آلودگی یا سرقت اطلاعات دارند. با توجه به گزارش مرکز ماهر (مدیریت امداد و هماهنگی عملیات رخدادهای رایانهای) آزمایشگاه کسپراسکای در آغاز فوریه سال ۲۰۱۶، یک تروجان بانکداری روی سیستمهای اندروید تحت عنوان «توردو» (tordow) پیدا کرد. نویسندگان این تروجان، استفاده از سطح دسترسی root را مفید میدانستند. به همین دلیل قابلیتهای توردو بسیار بیشتر از سایر بدافزارهای بانکداری است و این موضوع میتواند باعث ایجاد حملات جدیدی از طرف مهاجمان شود. آلودگی به «توردو» با نصب یک برنامه معروف اتفاق میافتد. در این مورد خاص منظور نسخه اصل برنامهها نیست، بلکه کپیهایی که خارج از فروشگاه نرمافزار گوگلپلی برای دانلود وجود دارد مدنظر است. این فروشگاهها اغلب مکانیزمی برای صحت اعتبار نرمافزارهای ثبتشده روی خود ندارند. نویسندگان بدافزار، نسخههای اصلی برنامهها را دانلود و پیاده کرده، کد و فایلهای جدیدشان را به آنها اضافه میکنند. سپس این فایلها را مجدداً کامپایل کرده و در فروشگاههای نرمافزاری غیرمعتبر منتشر
میکنند. نتیجه برنامهای است که بسیار به نسخه اصلی شبیه بوده و تمام کارهای نسخه اصلی را انجام میدهد و در عین حال کارایی مورد نظر حملهکننده را هم دارد.پس از اجرای برنامه، کد اضافهشده به برنامه اصلی، فایل اضافهشده توسط مهاجم به منابع برنامه را رمزگشایی کرده و آن را اجرا میکند. فایل اجراشده با سرور حملهکننده تماس میگیرد و بخش اصلی توردو (که شامل لینک به فایلهای بیشتر برای دانلود، یک اکسپلویت برای گرفتن سطح دسترسی root، نسخههای جدیدتر بدافزار و... است) را دانلود میکند. تعداد لینکها با توجه به قصد مهاجم میتواند متفاوت باشد. همچنین هر فایل دانلود شده، میتواند مؤلفه جدیدی را از سرور دانلود، رمزگشایی و اجرا کند. در نتیجه دستگاه آلوده شامل چندین ماژول مخرب است که تعداد و کارایی آنها هم به قصد مالک «توردو» بستگی دارد. در هر صورت، مهاجم شانس این را دارد که از راه دور توسط فرستادن دستوراتی به دستگاه قربانی را کنترل کند.
در نتیجه، مهاجمان سایبری کاراییهای متفاوتی برای دزدیدن پول قربانیان توسط اجرای متدهایی که برای بدافزارهای بانکداری و باجافزارها قدیمی است، در اختیار دارند. کارایی برنامه مخرب شامل فرستادن، دزدیدن و پاککردن SMSها، ضبط و مسدود کردن تماسها، چک کردن میزان پول، دزدیدن مخاطبها، تماس گرفتن، دانلود و اجرای فایلها، نصب و پاک کردن برنامهها، بلاک کردن دستگاه و نشان دادن یک صفحه وب مشخص که روی سرور مخرب قرار دارد، درست کردن و فرستادن لیستی از فایلها که روی دستگاه موجود است، فرستادن و تغییر نام فایلها و ریبوت کردن دستگاه میشود.
پیشنهاد تیمهای امنیتی این است که کاربران برنامهها را از منابع غیرمطمئن نصب نکنند و برای محافظت از دستگاههای اندرویدی از آنتی ویروس استفاده کنند.