کسپرسکی میگوید که بدافزار Faketoken برای هدف قرار دادن برنامههای رزرو تاکسی تکامل یافتهاست.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، کسپرسکی، تروجان بانکی جدید Faketoken را در تلفنهای همراه شناسایی کرد که بهمنظور سرقت اطلاعات بانکی، پوششی را در بالای برنامههای رزرو تاکسی نشان میدهد.
Faketoken قابلیتهای شناسایی و ضبط تماسهای دستگاه آلوده را پیادهسازی میکند و بهمنظور سرقت اطلاعات بانکی، پوششی را در بالای برنامههای رزرو تاکسی نشان میدهد.
در تجزیهوتحلیل منتشرشده توسط کسپرسکی آمدهاست: «درحالیکه گسترش جغرافیایی این بدافزار در حال رشد است، نویسندگان اصلاحات جدیدتر همچنان بهروزرسانی بدافزار را ادامه میدهند. برخی از این اصلاحات شامل سازوکارهای پوشش برای حدود دوهزار برنامه مالی است. در یکی از جدیدترین نسخهها، ما یک سازوکار حمله به برنامههای رزرو تاکسیها و پرداخت بلیطهای ترافیکی صادر شده توسط اداره کل ایمنی ترافیک جادهها شناسایی کردیم.»
در ماه دسامبر، کسپرسکی باجافزار اندرویدی Faketock را مشاهده کرد که تواناییهای آن در رمزنگاری پروندهها افزایش یافتهبود. درحالحاضر نوع جدیدی از این بدافزار به نام Faketoken.q بهمنظور سرقت گواهینامههای Uber و دیگر برنامههای رزرو دوباره بهبود یافتهاست. Faketoken.q که با کمک تودهای از پیامهای کوتاه توزیع میشود، کاربران را به بارگیری یک پرونده تصویری که درواقع بارگیری یک بدافزار است، فریب میدهد.
این تروجان تلفن همراه دارای دو بخش است، بخش اول، یک نصبکننده مبهم و بخش دوم، یک پرونده با پسوند DAT است که ویژگیهای اصلی بدافزار را شامل میشود. هنگامیکه قربانیان این بدافزار اندرویدی را بارگیری کردند، بدافزار ماژولهای لازم و برنامه اصلی را نصب میکند تا آیکون میانبر آن را پنهان کند و بهمنظور راهاندازی برنامهها، نظارت بر فعالیتهای کاربر ازجمله تماسها را آغاز میکند.
در ادامه این تجزیهوتحلیل آمدهاست: «پس از آغاز بهکار کردن تروجان، آیکون میانبر خود را پنهان کرده و شروع به نظارت بر تمامی تماسها و هرکدام از برنامههایی میکند که توسط کاربر راهاندازی میشود. پس از دریافت یک تماس يا برقراري تماس توسط یک شماره تلفن خاص، بدافزار شروع به ضبط مکالمه کرده و بلافاصله پس از پایان مکالمه، آن را برای مهاجمان ارسال میکند.»
هنگامیکه تماسی از شماره تلفنهای خاص دریافت و یا برقرار میشود، Faketoken.q مکالمات را ضبط کرده و آنها را به کارگزار مهاجم ارسال میکند. این کد مخرب همچنین برنامههایی را که قربانی از آنها استفاده میکند، بررسی کرده و هنگامیکه راهاندازی برنامهای را شناسایی کرد که میتواند واسطهها را رونویسی کند، این برنامه را با یک رابط کاربری جعلی پوشش میدهد.
رابط کاربری جعلی ارائهشده توسط Faketoken.q قربانیان را به وارد کردن اطلاعات کارت پرداخت خود، ازجمله کد تأیید بانک وادار میکند. محققان مشاهده کردند که این بدافزار قادر به نمایش رابط کاربری جعلی برای بسیاری از برنامههای بانکی تلفن همراه و سایر برنامههای کاربردی مانند پرداخت اندرویدی، فروشگاه گوگلپلی، برنامههای پرداخت بلیطهای ترافیکی، برنامههای رزرو، پرواز و اتاقهای هتل، برنامههای رزرو تاکسی است
این تروجان میتواند از دریافت کد ارسالشده توسط بانک برای تأیید معاملات جلوگیری کرده و سپس آن را به کارگزار C & C منتقل کند. بهنظر میرسد که Faketoken.q برای هدف قرار دادن کاربران روسیزبان توسعه داده شدهاست، چرا که در رابط کاربری آن تنها از زبان روسی استفاده شدهاست. برای جلوگیری از آلودهشدن به Faketoken و بدافزارهای مشابه، برنامهها را از فروشگاههای شخص ثالث نصب نکنید و مراقب پیامهای کوتاه و ایمیلهای ناخواستهای که در دستگاه تلفن همراه خود دریافت میکنید، باشید.