تروجان اندرویدی آنوبیس
در طی چند سال گذشته، تروجانهای بانکی اندرویدی به عنوان یک تهدید ماندگار شناخته شدهاند. مهاجمان همواره طیف گستردهای از عملکردهای مخرب را درون تروجانها جاسازی میکنند تا آنها را موثرتر و کمتر مستعد شناسایی کنند. نمونه بارز این تروجانهای بدنام، آنوبیس است. معمولا در پوشش برنامههای کاربردی به ظاهر بیخطر، از طریق فروشگاه Google Play منتشر میشود. این تروجان از سال ۲۰۱۷ تاکنون بیش از ۳۰۰ موسسه مالی را در سراسر جهان آلوده کرده است.
تروجان آنوبیس (Anubis) نوعی تروجان و بات بانکی برای سیستمعامل اندروید است که کد منبع آن از تروجان بانکی Maza-in نشات گرفته است. نام دیگر این بدافزار، Android.BankBot.250.Origin میباشد که در سال ۲۰۱۷ توسط Dr. Web شناسایی شد. کسپرسکی این بدافزار را در دسته تروجانهای بانکی قرار داده و با نام Trojan-Banker.AndroidOS.Asacub نامگذاری کرده است.
همانطور که اشاره شد، تروجان آنوبیس معمولا در پوشش برنامه کاربردیهای به ظاهر بیخطر مثل بازیهای موبایلی، بهروزرسانیهای جعلی نرمافزارها، برنامههای کاربردی جعلی، برنامههای کاربردی جعلی ارسال رایانامه، مرورگرهای جعلی و حتی برنامه کاربردیهای شبکههای اجتماعی یا پیامرسانها از طریق فروشگاه Google Play منتشر میشود. این تروجان از سال ۲۰۱۷ تاکنون بیش از ۳۰۰ موسسه مالی در سراسر جهان را آلوده کرده است.
اهداف اولیه
بر اساس مشاهدات صورت گرفته، تروجان آنوبیس معمولاً موسساتی را که در اروپا، آسیا و امریکا خدمات ارائه میدهند را مورد هدف قرار میدهد. همچنین فعالیتهای این بدافزار در غرب آسیا، امریکای شمالی و استرالیا نیز مشاهده شده است. این تروجان تنها در ژانویه ۲۰۱۹، حدود ۳۷۷ برنامه کاربردی بانکی را در ۹۳ کشور مورد حمله قرار داد.
تواناییها
تروجان آنوبیس به محض اجرا در دستگاه قربانی، برای دریافت دستورات با سرور فرمان و کنترل (C&C) مهاجم ارتباط برقرار میکند. بدافزار از این طریق قادر به انجام اقدامات زیر میباشد:
- ارسال پیامک با متن مشخص
- اجرای کدهای USSD
- ارسال نسخهای از پیامکهای ذخیره شده در دستگاه قربانی
- نمایش اعلان بر اساس فرمان دریافت شده از سرور C&C
- مسدود کردن صفحه نمایش دستگاه
- ارسال تمام شمارههای لیست مخاطبین
- دسترسی به اطلاعات مهم دستگاه
- دسترسی به موقعیت جغرافیایی دستگاه
- دسترسی به آدرس آیپی دستگاه
- پاکسازی فایل پیکربندی
جلوگیری از شناسایی
بدافزار آنوبیس از روشهای سنتی برای جلوگیری از شناسایی استفاده نمیکند، بلکه این بدافزار با کمک حسگرهای حرکتی دستگاه قربانی، فعالیت خود را مخفی نگه میدارد. هنگامی که کاربر حرکت میکند، حسگر دستگاه اندرویدی وی دادههای حرکتی تولید میکند. بنابراین توسعهدهندگان بدافزار آنوبیس، فرض را بر آن گذاشتهاند که در صورت ساکن ماندن دستگاه، احتمالاً بدافزار در یک محیط سندباکس در حال اجراست و در نتیجه از اجرای کدهای مخرب جلوگیری خواهند کرد.
حملات عمده
برخی از حملات بزرگی که تروجان آنوبیس در آنها دخیل بوده است عبارتند از:
- در ماه جولای سال ۲۰۱۸، این بدافزار توسط برنامه کاربردیهای مختلفی منتشر شد. مهاجمان سایبری از این تروجان برای تسهیل کلاهبرداریهای مالی از طریق سرقت اطلاعات ورود به برنامه کاربردیهای بانکی، کیف پولهای الکترونیکی و کارتهای پرداخت استفاده کردند.
- در ژانویه سال ۲۰۱۹، تروجان آنوبیس در قالب دو برنامه کاربردی ظاهر شد که قادر بودند بر دیتای ورودی توسط حسگر حرکتی دستگاه نظارت داشته باشند. این دو برنامه کاربردی آلوده در واقع BatterySaverMobi (بهینهسازی باتری) و Currency Converter (مبدل ارز) بودند. به محض اینکه برنامه کاربردیهای مذکور منجر به نصب بدافزار آنوبیس میشدند، بخش Dropper بدافزار، شروع به یافتن موقعیت مکانی سرور فرمان و کنترل با ارسال درخواست و پاسخ از طریق توییتر و تلگرام مینمود.
- در ماه نوامبر سال ۲۰۱۹، یک تروجان بانکی اندرویدی جدید به نام Ginp که اطلاعات کاربری فرمهای ورود اطلاعات و کارتهای اعتباری را سرقت میکرد توسط کارشناسان امنیتی کشف شد. در جدیدترین نسخه این بدافزار که کاربران کشورهای اسپانیا و انگلیس را مورد هدف قرار داده بود، بخشهایی از کد برگرفته از بدافزار آنوبیس بود.
نسخههای اخیر
اولین نسخه از بدافزار آنوبیس دوم (Anubis II) برای نخستین بار در سه ماهه چهارم ۲۰۱۷ کشف شد. در ماه دسامبر سال ۲۰۱۸، گردانندگان Anubis، Maza-in خبر از انتشار نسخه ۲٫۵ این بدافزار دادند. در ماه مارس سال ۲۰۱۹ میلادی، شخصی به نام Aldesa بدافزاری را که اصطلاحاً “Anubis 3” نامگذاری کرده بود در انجمنهای زیرزمینی به فروش گذاشت. همچنین در ماه جولای ۲۰۱۹، محققان TrendMicro، نسخه جدید این بدافزار به نام AndroidOS_AnubisDropper را کشف نمودند. ویژگیهای این نسخه جدید، همانند نسخههای پیشین بود. گرچه تروجان آنوبیس و نسخههای مختلف آن دیگر در فروشگاههای زیرزمینی مبادله نمیگردند اما کارشناسان بر این باورند که گردانندگان این بدافزار هنوز به پنل مدیریتی و سازنده تروجان دسترسی دارند.
نتیجهگیری
با توجه به افزایش تقاضا برای تروجانهای بانکی اندروید، کارشناسان بر این باورند که مهاجمین از بدافزار آنوبیس برای حملات آینده استفاده خواهند کرد. آنوبیس یکی از تروجانهای همیشه فعال در فضای سایبری است. بنابراین به تمام کاربران سیستمعامل اندروید توصیه میگردد که ضمن فعالسازی ویژگی Google Play Protect از یک آنتیویروس معتبر بر روی دستگاه اندرویدی خود استفاده نمایند. آرمان داده پویان، آنتیویروس Kaspersky Internet Security را پیشنهاد میکند.
آرمان داده پویان نمایندگی پلاتینیوم کسپرسکی در ایران
با ما تماس بگیرید