بدافزارها

تروجان اندرویدی Anubis
۲۸ اردیبهشت ۱۳۹۹

تروجان اندرویدی آنوبیس

در طی چند سال گذشته، تروجان‌های بانکی اندرویدی به عنوان یک تهدید ماندگار شناخته شده‌اند. مهاجمان همواره طیف گسترده‌ای از عملکردهای مخرب را درون تروجان‌ها جاسازی می‌کنند تا آن‌ها را موثرتر و کمتر مستعد شناسایی کنند. نمونه بارز این تروجان‌های بدنام، آنوبیس است. معمولا در پوشش برنامه‌های کاربردی به ظاهر بی‌خطر، از طریق فروشگاه Google Play منتشر می‌شود. این تروجان از سال ۲۰۱۷ تاکنون بیش از ۳۰۰ موسسه مالی را در سراسر جهان آلوده کرده است.

تروجان آنوبیس (Anubis) نوعی تروجان و بات بانکی برای سیستم‌عامل اندروید است که کد منبع آن از تروجان بانکی Maza-in نشات گرفته است. نام دیگر این بدافزار، Android.BankBot.250.Origin می‌باشد که در سال ۲۰۱۷ توسط Dr. Web شناسایی شد. کسپرسکی این بدافزار را در دسته تروجان‌های بانکی قرار داده و با نام Trojan-Banker.AndroidOS.Asacub نام‌گذاری کرده است.

همانطور که اشاره شد، تروجان آنوبیس معمولا در پوشش برنامه کاربردی‌های به ظاهر بی‌خطر مثل بازی‌های موبایلی، به‌روزرسانی‌های جعلی نرم‌افزارها، برنامه‌های کاربردی جعلی، برنامه‌های کاربردی جعلی ارسال رایانامه،  مرورگرهای جعلی و حتی برنامه کاربردی‌های شبکه‌های اجتماعی یا پیام‌رسان‌ها از طریق فروشگاه Google Play منتشر می‌شود. این تروجان از سال ۲۰۱۷ تاکنون بیش از ۳۰۰ موسسه مالی در سراسر جهان را آلوده کرده است.

اهداف اولیه

بر اساس مشاهدات صورت گرفته، تروجان آنوبیس معمولاً موسساتی را که در اروپا، آسیا و امریکا خدمات ارائه می‌دهند را مورد هدف قرار می‌دهد. همچنین فعالیت‌های این بدافزار در غرب آسیا، امریکای شمالی و استرالیا نیز مشاهده شده است. این تروجان تنها در ژانویه ۲۰۱۹، حدود ۳۷۷ برنامه کاربردی بانکی را در ۹۳ کشور مورد حمله قرار داد.

توانایی‌ها

تروجان آنوبیس به محض اجرا در دستگاه قربانی، برای دریافت دستورات با سرور فرمان و کنترل (C&C) مهاجم ارتباط برقرار می‌کند. بدافزار از این طریق قادر به انجام اقدامات زیر می‌باشد:

  • ارسال پیامک با متن مشخص
  • اجرای کدهای USSD
  • ارسال نسخه‌ای از پیامک‌های ذخیره شده در دستگاه قربانی
  • نمایش اعلان بر اساس فرمان دریافت شده از سرور C&C
  • مسدود کردن صفحه نمایش دستگاه
  • ارسال تمام شماره‌های لیست مخاطبین
  • دسترسی به اطلاعات مهم دستگاه
  • دسترسی به موقعیت جغرافیایی دستگاه
  • دسترسی به آدرس آی‌پی دستگاه
  • پاکسازی فایل پیکربندی

جلوگیری از شناسایی

بدافزار آنوبیس از روش‌های سنتی برای جلوگیری از شناسایی استفاده نمی‌کند، بلکه این بدافزار با کمک حسگرهای حرکتی دستگاه قربانی، فعالیت خود را مخفی نگه می‌دارد. هنگامی که کاربر حرکت می‌کند، حسگر دستگاه اندرویدی وی داده‌های حرکتی تولید می‌کند. بنابراین توسعه‌دهندگان بدافزار آنوبیس، فرض را بر آن گذاشته‌اند که در صورت ساکن ماندن دستگاه، احتمالاً بدافزار در یک محیط سندباکس در حال اجراست و در نتیجه از اجرای کدهای مخرب جلوگیری خواهند کرد.

حملات عمده

برخی از حملات بزرگی که تروجان آنوبیس در آن‌ها دخیل بوده است عبارتند از:

  • در ماه جولای سال ۲۰۱۸، این بدافزار توسط برنامه کاربردی‌های مختلفی منتشر شد. مهاجمان سایبری از این تروجان برای تسهیل کلاهبرداری‌های مالی از طریق سرقت اطلاعات ورود به برنامه کاربردی‌های بانکی، کیف پول‌های الکترونیکی و کارت‌های پرداخت استفاده کردند.
  • در ژانویه سال ۲۰۱۹، تروجان آنوبیس در قالب دو برنامه کاربردی ظاهر شد که قادر بودند بر دیتای ورودی توسط حسگر حرکتی دستگاه نظارت داشته باشند. این دو برنامه کاربردی آلوده در واقع BatterySaverMobi (بهینه‌سازی باتری) و Currency Converter (مبدل ارز) بودند. به محض اینکه برنامه کاربردی‌های مذکور منجر به نصب بدافزار آنوبیس می‌شدند، بخش Dropper بدافزار، شروع به یافتن موقعیت مکانی سرور فرمان و کنترل با ارسال درخواست و پاسخ از طریق توییتر و تلگرام می‌نمود.
  • در ماه نوامبر سال ۲۰۱۹، یک تروجان بانکی اندرویدی جدید به نام Ginp که اطلاعات کاربری فرم‌های ورود اطلاعات و کارت‌های اعتباری را سرقت می‌کرد توسط کارشناسان امنیتی کشف شد. در جدیدترین نسخه این بدافزار که کاربران کشورهای اسپانیا و انگلیس را مورد هدف قرار داده بود، بخش‌هایی از کد برگرفته از بدافزار آنوبیس بود.

نسخه‌های اخیر

اولین نسخه از بدافزار آنوبیس دوم (Anubis II) برای نخستین بار در سه ماهه چهارم ۲۰۱۷ کشف شد. در ماه دسامبر سال ۲۰۱۸، گردانندگان Anubis، Maza-in خبر از انتشار نسخه ۲٫۵ این بدافزار دادند. در ماه مارس سال ۲۰۱۹ میلادی، شخصی به نام Aldesa بدافزاری را که اصطلاحاً “Anubis 3” نام‌گذاری کرده بود در انجمن‌های زیرزمینی به فروش گذاشت. همچنین در ماه جولای ۲۰۱۹، محققان TrendMicro، نسخه جدید این بدافزار به نام AndroidOS_AnubisDropper را کشف نمودند. ویژگی‌های این نسخه جدید، همانند نسخه‌های پیشین بود. گرچه تروجان آنوبیس و نسخه‌های مختلف آن دیگر در فروشگاه‌های زیرزمینی مبادله نمی‌گردند اما کارشناسان بر این باورند که گردانندگان این بدافزار هنوز به پنل مدیریتی و سازنده تروجان دسترسی دارند.

نتیجه‌گیری

با توجه به افزایش تقاضا برای تروجان‌های بانکی اندروید، کارشناسان بر این باورند که مهاجمین از بدافزار آنوبیس برای حملات آینده استفاده خواهند کرد. آنوبیس یکی از تروجان‌های همیشه فعال در فضای سایبری است. بنابراین به تمام کاربران سیستم‌عامل اندروید توصیه می‌گردد که ضمن فعال‌سازی ویژگی Google Play Protect از یک آنتی‌ویروس معتبر بر روی دستگاه اندرویدی خود استفاده نمایند. آرمان داده پویان، آنتی‌ویروس Kaspersky Internet Security را پیشنهاد می‌کند.

آرمان داده پویان نمایندگی پلاتینیوم کسپرسکی در ایران

با ما تماس بگیرید


تازه ترین ها