تروجان تلفن همراه Rotexy در سه ماه گذشته بیش از 70هزار حمله انجام داد.
منبع : مرکز مدیریت راهبردی افتا
تروجان تلفن همراه Rotexy در سه ماه گذشته بیش از 70هزار حمله انجام داد.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، یک جاسوسافزار تلفن همراه که به تروجانی بانکی با قابلیت باجافزاری تبدیل شدهاست، طی سهماه بیش از ۷۰هزار حمله انجام دادهاست. نام این تروجان Rotexy است که در گذشته با نام SMSThief شناختهمیشد.
این تهدید تلفن همراه برای نخستینبار در سال ۲۰۱۴ مشاهده شده و از زمان انتشار نسخه اولیه بسیار متنوع و انعطافپذیر بودهاست.
یکی از ویژگیهایی که این تروجان را از بقیه موارد مشابه متمایز میکند، استفاده همزمان از سه کانال ارتباطی جداگانه برای دریافت دستورات است. پژوهشگران دریافتهاند که این تروجان میتواند دستورات را از طریق سرویس پیامرسان ابری گوگل (GCM) دریافت کند که پیامها را در قالب JSON به دستگاههای تلفنهمراه ارسال میکند. یکی دیگر از روشهای Rotexy برای ارسال دستورات به هدف آلوده، استفاده از یک سرور فرمان و کنترل (2C) است. روش سوم پیامک است، یعنی عامل تهدید میتواند اقدامات بدافزار را با ارسال یک پیام متنی به تلفن همراه آلوده کنترل کند.
آخرین نسخه Rotexy عمدتا کاربران روسی را هدف قرار دادهاست، اگرچه کسپرسکی قربانیانی در اوکراین، آلمان، ترکیه و چندین کشور دیگر نیز شناسایی کردهاست. حملات اخیر در ماه اوت و اکتبر رخ دادهاست.
تحلیلگران بدافزار، تکامل Rotexy را مستند کردند و به نکات کلیدی مانند پردازش ارتباط از طریق پیام کوتاه و یا استفاده از رمزنگاری AES روی اطلاعات مبادلهشده بین قربانی و C2 پرداختهاند.
از اواخر سال ۲۰۱۶، تمرکز این تروجان بر سرقت اطلاعات کارت بانکی کاربران از طریق صفحات فیشینگ بودهاست. بعدها، توسعهدهندگان یک صفحه HTML اضافه کردند که فرم ورود یک بانک قانونی را جعل کرده و صفحه دستگاه را قفل میکند تا قربانی اطلاعات لازم را وارد کند.
برای اینکه این صفحه قابل اعتماد به نظر برسد، عامل تهدید یک صفحه کلید مجازی ایجاد کردهاست که ادعا میشود برای محافظت در برابر برنامههای Keylogging است. برای تشویق قربانی به ارائه اطلاعات حساس خود، صفحه HTML جعلی به قربانی اطلاع میدهد که یک تراکنش مالی در حال انجام است و کاربر باید برای دریافت وجه، اطلاعات کارت را وارد کند.
آخرین نسخه بدافزار دارای یک مکانیسم حفاظتی است که کشوری که در آن راهاندازی شده و محیطی که در آن اجرا میشود را بررسی میکند. هرگونه تلاش برای لغو دسترسیهای ادمین این تروجان منجر به خاموش شدن موقتی صفحه نمایش تلفنهمراه برای متوقف کردن این اقدام خواهدشد. در صورتی که کاربر موفق به کاهش سطح دسترسیهای تروجان شود، این بدافزار دوباره تاکتیکهای کسب دسترسی خود را به اجرا میگذارد.
از قابلیتهای مشاهدهشده این تروجان، قابلیت مخفیسازی ارتباط پیامکی با قراردادن تلفن در حالت سکوت و خاموش کردن صفحه نمایش هنگام ارسال پیام است. همچنین این باجافزار قابلیت قفلکردن تلفنهمراه را دارد که بازکردن قفل، مشروط به پرداخت باج خواهدبود.
با این حال، پژوهشگران دستور لازم برای باز کردن قفل را کشف کردهاند. ارسال ۳۴۵۸ در یک پیام متنی مجوزهای مدیریتی آن را لغو میکند و دستور stop_blocker آن را متوقف میکند. بدافزار ممکن است درخواست خود برای مجوز را دوباره تکرار کند و این مشکل زمانی که Rotexy از سیستم حذف شود از بین میرود.
پژوهشگران هشدار دادهاند که این دستورالعملها فقط بر روی نسخه فعلی این بدافزار کار میکنند و ممکن است با نسخههای آینده سازگار نباشد.