ITProgrammers

ظهر حصان طروادة المصرفي الشهير الذي يعمل بنظام Android والمعروف باسم SharkBot مرة أخرى على متجر Google Play من خلال تنكره على أنه تطبيقات مكافحة فيروسات وأنظف.

قال Fox-IT من NCC Group في تقرير: "هذا القطارة الجديدة لا تعتمد على أذونات إمكانية الوصول لإجراء تثبيت تلقائي لبرنامج Sharkbot الضار بالقطارة". "بدلاً من ذلك ، يطلب هذا الإصدار الجديد من الضحية تثبيت البرامج الضارة كتحديث مزيف لبرنامج مكافحة الفيروسات ليظل محميًا من التهديدات."

يحتوي التطبيقان المعنيان ، Mister Phone Cleaner و Kylhavy Mobile Security ، على أكثر من 60 ألف عملية تثبيت بينهما ، وهي مصممة لاستهداف المستخدمين في إسبانيا ، وأستراليا ، وبولندا ، وألمانيا ، والولايات المتحدة ، والنمسا -

Mister Phone Cleaner (com.mbkristine8.cleanmaster ، أكثر من 50000 تنزيل)
Kylhavy Mobile Security (com.kylhavy.antivirus ، أكثر من 10000 تنزيل)
تم تصميم القطارات لإسقاط نسخة جديدة من SharkBot ، أطلق عليها اسم V2 من قبل شركة الأمن الهولندية ThreatFabric ، والتي تتميز بآلية اتصال محدثة للقيادة والتحكم (C2) ، وخوارزمية إنشاء المجال (DGA) ، وقاعدة كود برمجية معاد تشكيلها بالكامل.

قالت Fox-IT إنها اكتشفت الإصدار الأحدث 2.25 في 22 أغسطس 2022 ، والذي يقدم وظيفة لشفط ملفات تعريف الارتباط عندما يسجل الضحايا الدخول إلى حساباتهم المصرفية ، مع إزالة القدرة على الرد تلقائيًا على الرسائل الواردة التي تحتوي على روابط إلى البرامج الضارة لنشرها. .

من خلال تجنب أذونات الوصول لتثبيت SharkBot ، يسلط التطوير الضوء على أن المشغلين يقومون بتعديل تقنياتهم بنشاط لتجنب الاكتشاف ، ناهيك عن إيجاد طرق بديلة في مواجهة قيود Google المفروضة حديثًا للحد من إساءة استخدام واجهات برمجة التطبيقات.

تشمل إمكانات سرقة المعلومات البارزة الأخرى حقن تراكبات وهمية لجمع بيانات اعتماد الحساب المصرفي ، وتسجيل ضغطات المفاتيح ، واعتراض رسائل SMS ، وتنفيذ عمليات تحويل الأموال الاحتيالية باستخدام نظام التحويل الآلي (ATS).

ليس من المستغرب أن تشكل البرامج الضارة تهديدًا متطورًا ومنتشرًا في كل مكان ، وعلى الرغم من الجهود المستمرة من جانب Apple و Google ، فإن متاجر التطبيقات معرضة لسوء الاستخدام عن غير قصد للتوزيع ، حيث يحاول مطورو هذه التطبيقات كل حيلة في الكتاب لتفادي الأمان الفحوصات.

قال الباحثان Alberto Segura و Mike Stokkel: "حتى الآن ، يبدو أن مطوري SharkBot يركزون على القطارة من أجل الاستمرار في استخدام متجر Google Play لتوزيع برامجهم الضارة في الحملات الأخيرة".

اكتشف الباحثون بابًا خلفيًا خاصًا قائمًا على قناة Telegram في المعلومات التي تسرق البرامج الضارة ، يُطلق عليه اسم Prynt Stealer ، والذي أضافه مطور البرنامج بقصد سرقة نسخة من بيانات الضحايا التي تم اختراقها سراً عند استخدامها من قبل مجرمي الإنترنت الآخرين.

"في حين أن هذا السلوك غير الجدير بالثقة ليس شيئًا جديدًا في عالم الجرائم الإلكترونية ، فإن بيانات الضحايا ينتهي بها الأمر في أيدي جهات تهديدات متعددة ، مما يزيد من مخاطر هجوم أو أكثر من الهجمات الكبيرة التي يجب اتباعها" ، وفقًا للباحثين في Zscaler ThreatLabz Atinderpal Singh و Brett Stone قال -Gross في تقرير جديد.

يأتي Prynt Stealer ، الذي ظهر في وقت سابق من هذا الشهر ، مزودًا بقدرات لتسجيل ضغطات المفاتيح ، وسرقة بيانات الاعتماد من متصفحات الويب ، وسحب البيانات من Discord و Telegram. تم بيعه مقابل 100 دولار مقابل ترخيص لمدة شهر و 900 دولار للاشتراك مدى الحياة.

يُظهر تحليل شركة الأمن السيبراني لـ Prynt Stealer أن قاعدة الكود الخاصة بها مشتقة من عائلتين أخريين من البرامج الضارة مفتوحة المصدر ، AsyncRAT و StormKitty ، مع إضافات جديدة مدمجة لتشمل قناة Telegram خلفية لجمع المعلومات التي سرقتها جهات فاعلة أخرى لمؤلف البرنامج الضار.

برينت ستيلر
يُقال إن الكود المسؤول عن استخراج بيانات Telegram تم نسخه من StormKitty ، ولكن مع بعض التغييرات الطفيفة.

تم تضمين أيضًا ميزة مكافحة التحليل التي تزود البرامج الضارة بالمراقبة المستمرة لقائمة عمليات الضحية للعمليات مثل Taskmgr و netstat و wireshark ، وإذا تم اكتشافها ، قم بحظر قنوات الاتصال للأوامر والتحكم في Telegram.

بينما استخدم الفاعلون السيئون تكتيكات مماثلة لسرقة البيانات في الماضي حيث يتم تقديم البرامج الضارة مجانًا ، فإن التطوير يمثل إحدى الحالات النادرة التي يقوم فيها السارق الذي يتم بيعه على أساس الاشتراك بإرسال المعلومات المنهوبة إلى مطوره.

قال الباحثون: "لاحظ أن هناك نسخًا متصدعة / مسربة من Prynt Stealer بنفس الباب الخلفي ، والتي بدورها ستفيد مؤلف البرامج الضارة حتى بدون تعويض مباشر".

قال Zscaler إنه حدد نوعين مختلفين من Prynt Stealer يحملان الاسمين WorldWind و DarkEye وكتبهما نفس المؤلف ، والذي تم تجميعه كغرس مع منشئ Prynt Stealer "المجاني".

تم تصميم المُنشئ أيضًا لإسقاط وتشغيل حصان طروادة للوصول عن بُعد يسمى Loda RAT ، وهو برنامج ضار قائم على تقنية AutoIT قادر على الوصول إلى معلومات النظام والمستخدم وإخراجها ، والعمل كلوغر ، والتقاط لقطات شاشة ، وإطلاق العمليات وإنهائها ، وتنزيل المزيد حمولات البرامج الضارة عبر اتصال بخادم C2.

وخلص الباحثون إلى أن "التوافر المجاني لشفرة المصدر للعديد من عائلات البرامج الضارة قد جعل التطوير أسهل من أي وقت مضى بالنسبة لممثلي التهديدات الأقل تطورًا".

"ذهب مؤلف Prynt Stealer إلى أبعد من ذلك وأضاف بابًا خلفيًا للسرقة من عملائه عن طريق تشفير رمز Telegram ومعرف الدردشة في البرنامج الضار. كما يقول المثل ، لا يوجد شرف بين اللصوص."