هدف قرار گرفتن برنامه‌ی موبایل صرافی‌های رمزارزی توسط یک بدافزار بانکی جدید

محققان امنیتی در آزمایشگاه کسپرسکی (Kaspersky Lab)، به تازگی بدافزار بانکی جدیدی را برای سیستم عامل اندروید کشف کرده‌اند که از کشور برزیل نشات گرفته است. این بدافزار که گیموب (Ghimob) نام دارد، به سرعت در سراسر این کشور و حتی فراتر از آن، در حال گسترش است. بر اساس گزارش‌های منتشرشده، مهاجمان از این بدافزار بیشتر برای هدف قرار دادن برنامه‌های موبایل ارائه‌شده توسط صرافی‌های ارز دیجیتال و سایر مؤسسه‌های مالی، مانند بانک‌ها، پلتفرم‌های پرداخت بین‌المللی و شرکت‌های فین‌تِک استفاده می‌کنند.

به گفته‌ی آزمایشگاه کسپرسکی، در حال حاضر این بدافزار جدید برنامه‌ی موبایل صرافی‌های رمزارزی و بانک‌های چندین قاره مانند آفریقا، آمریکای جنوبی و اروپا را هدف قرار داده است. به غیر از برنامه‌های تلفن همراه مؤسسه‌های مالی، بدافزار گیموب قابلیت آلوده‌کردن بیش از ۱۵۳ برنامه‌ی دیگر را نیز دارد. آزمایشگاه کسپرسکی در گزارش خود اعلام کرده که این بدافزار از طریق ایمیل‌های فیشینگ در حال انتشار است.

در همین راستا، مهاجمان برای فریب قربانیان اقدام به ارسال پیغام‌های مخرب کرده و خود را پشت برنامه‌های رسمی همچون گوگل داکس (Google Docs)، گوگل دیفندر (Google Defender) و یا پلتفرم‌های پیام‌رسانی مانند واتس‌اپ (WhatsApp) پنهان می‌کنند. در صورتی که کاربر فریب خورده و روی لینک مخرب موجود در پیام کلیک کند، دانلود و نصب بدافزار گیموب بر روی تلفن همراه او آغاز می‌شود.

خرید ارز دیجیتال با ۱۰ هزار تومان!

تو صرافی ارزپلاس میتونی فقط با ۱۰ هزار تومان و با کارمزد صفر، بیش از ۳۰۰ ارز دیجیتال رو بخری!

شروع

پس از آلوده‌شدن دستگاه قربانیان به بدافزار گیموب، مهاجمان می‌توانند به‌صورت راه دور، به کدهای امنیتی و سایر اطلاعات شخصی موجود بر روی تلفن همراه آنها دسترسی داشته باشند. حتی اگر کاربر از الگوی قفل صفحه استفاده کرده باشد، بدافزار گیموب قادر است با دور زدن اقدامات امنیتی، قفل دستگاه را باز کند. سپس با بهره‌برداری از این اطلاعات، مهاجمان می‌توانند از طریق برنامه‌های صرافی‌های رمزارزی و بانکی مختلف، دارایی قربانیان را به سرقت ببرند.

طبق گزارش‌ها، وقتی مهاجمان آماده‌ی انجام معامله‌ای جعلی هستند، یک صفحه‌ی نمایش خالی یا سیاه را بر روی تلفن همراه قربانی به نمایش در آورده و یا برخی از وب‌سایت‌ها را به‌صورت تمام صفحه باز می‌کنند. سپس، در حالی که کاربر به آن صفحه نگاه می‌کند، مهاجمان با استفاده از برنامه‌ی مالی که قبلاً باز کرده و روی دستگاه اجرا می‌شود، معامله‌ی جعلی را در پس‌زمینه انجام می‌دهند.

آزمایشگاه کسپرسکی خاطرنشان کرد که گیموب، اولین تروجان بانکداری برزیلی است که در این مقیاس گسترش یافته و مؤسسه‌های مالی کشورهای مختلف و مشتریان آنها را هدف قرار داده است. داده‌های کسپرسکی نشان می‌دهند که علاوه‌بر برزیل، تاکنون مؤسسه‌های مالی و مشتریان آنها در کشورهای پاراگوئه، پرو، پرتغال، آلمان، آنگولا و موزامبیک هدف این بدافزار قرار گرفته‌اند. با این حال، آزمایشگاه کسپرسکی هشدار می‌دهد که این تروجان بانکی قادر به سرقت اعتبارنامه‌های بانکی، فین‌تِک‌ها، صرافی‌های رمزارزی و اطلاعات کارت‌های اعتباری بسیاری از کشورهای دیگر، و گسترش در سطح بین‌المللی نیز می‌باشد.