‫ khozestan_salamat بلاگ

بدافزار جدید اندروید "Antidot" خود را به عنوان Google Update برای سرقت اطلاعات بانکی پنهان می کند.

محققان امنیت سایبری در Cyble یک نوع بدافزار جدید و پیچیده اندرویدی به نام «Antidot» را کشف کردند. این بدافزار خود را به‌عنوان یک به‌روزرسانی جعلی Google پنهان می‌کند و کاربران ناآگاه را فریب می‌دهد تا آن را در دستگاه‌های خود دانلود کنند. پس از نصب، Antidot اطلاعات بانکی حساس را مورد هدف قرار می دهد که تهدیدی قابل توجه برای امنیت مالی است.

این بدافزار با توزیع خود از طریق کمپین‌های فیشینگ از جمله SMSishing عمل می‌کند که در آن کاربران پیام‌های SMS یا اعلان‌هایی را دریافت می‌کنند که به نظر می‌رسد از طرف Google است و از آنها می‌خواهد نرم‌افزار یا اقدامات امنیتی خود را به‌روزرسانی کنند. این پیام‌ها اغلب حاوی لینک‌های مخربی هستند که با کلیک روی آن‌ها، بدافزار Antidot را که به‌عنوان یک بسته به‌روزرسانی قانونی Google (APK) پنهان شده است، دانلود می‌کنند.

پس از نصب، Antidot به دنبال کسب امتیازات مدیریتی بر روی دستگاه است. در صورت موفقیت آمیز بودن، به مهاجم کنترل کامل دستگاه را می دهد و به آنها اجازه می دهد تا اشکال مختلف داده های حساس را بدزدند، از جمله: لیست های تماس، پیامک‌ها، اطلاعات کارت اعتباری، کدهای احراز هویت دو مرحله ای، اعتبار ورود به برنامه های بانکی و حساب های آنلاین.

بر اساس تجزیه و تحلیل Cyble، Antidot از آسیب‌پذیری‌های موجود در سیستم عامل اندروید برای دستیابی به پایداری و فرار از شناسایی سوء استفاده می‌کند. این بدافزار همچنین از تکنیک‌هایی برای مبهم کردن کد و کانال‌های ارتباطی خود استفاده می‌کند و تجزیه و تحلیل و کاهش آن را چالش‌برانگیزتر می‌کند.

خطر ناشی از آنتی دات قابل توجه است. هدف قرار دادن اطلاعات بانکی، آن را به ابزار اصلی برای سرقت وجوه مجرمان سایبری تبدیل می کند. علاوه بر این، کنترل دستگاه آلوده به مهاجمان اجازه می دهد تا حملات بیشتری را انجام دهند یا بدافزار اضافی را نصب کنند که حریم خصوصی و امنیت کلی کاربر را به خطر می اندازد.

کاربران اندروید باید در برابر بدافزار Antidot هوشیار باشند. در اینجا چند نکته کلیدی وجود دارد که باید به خاطر داشته باشید:

اولاً، در مورد پیام‌های ناخواسته با خودداری از کلیک کردن بر روی پیوندها یا دانلود پیوست‌ها از فرستندگان ناشناس، احتیاط کنید، حتی اگر به نظر می‌رسد که از منابع معتبری مانند Google منشاء می‌گیرند.

دوما، با دانلود انحصاری برنامه‌ها از فروشگاه‌های رسمی مانند فروشگاه Google Play، از صحت آن اطمینان حاصل کنید. قبل از نصب، اطلاعات برنامه‌نویس، بررسی‌ها و مجوزهای درخواستی برنامه را بررسی کنید.

ثالثاً، با فعال کردن احراز هویت دو مرحله‌ای، امنیت حساب خود را افزایش دهید، که یک لایه حفاظتی اضافی در برابر دسترسی غیرمجاز، حتی در صورت سرقت اعتبار، فراهم می‌کند.

هکرها بدافزارها را به عنوان برنامه‌های محبوبی مانند اینستاگرام و اسنپ‌چت پنهان می کنند تا جزئیات ورود شما را به سرقت ببرند.
تیم تحقیقاتی تهدید SonicWall Capture Labs گزارش می‌دهد که عوامل تهدید از برنامه‌های مخرب اندروید برای جعل هویت سرویس‌های آنلاین محبوبی مانند Google، Instagram، Snapchat، WhatsApp و X استفاده می‌کنند. هدف این برنامه‌ها سرقت داده‌های حساس از تلفن‌های آسیب‌پذیر Android، از جمله مخاطبین و پیام‌های متنی، گزارش تماس‌ها و رمزهای عبور.

این برنامه‌ها به دلیل استفاده از آرم‌ها و نام‌های آشنا برای فریب دادن کاربران ناآگاه و پنهان شدن در معرض دید، قانونی به نظر می‌رسند. پس از باز شدن، برنامه درخواست دسترسی به دو مجوز را می‌دهد: سرویس دسترس‌پذیری Android و مجوز سرپرست دستگاه. اگر قربانی این مجوزها را بدهد، برنامه می‌تواند کنترل کامل دستگاه را به دست آورد.

با درخواست این مجوزها، برنامه مخرب قصد دارد کنترل دستگاه قربانی را به دست آورد و به طور بالقوه به آن اجازه می دهد تا اقدامات مضر انجام دهد یا اطلاعات حساس را بدون آگاهی یا رضایت کاربر سرقت کند.

سپس برنامه مخرب با دریافت دستورالعمل های اضافی، با سرور C2 کنترل شده توسط هکرها ارتباط برقرار می کند. می‌تواند پیام‌ها را بخواند، گزارش تماس‌ها، دسترسی به داده‌های اعلان، ارسال پیام، نصب بدافزار، و باز کردن وب‌سایت‌های مخرب برای مقاصد فیشینگ را داشته باشد.

علاوه بر این، این برنامه قربانیان را به صفحات ورود جعلی سرویس‌های محبوب مانند فیس‌بوک، گیت‌هاب، اینستاگرام، نتفلیکس، پی پال، لینکدین، مایکروسافت، ایکس، وردپرس و یاهو و غیره هدایت می‌کند و از آن‌ها می‌خواهد نام کاربری و رمز عبور خود را وارد کنند.

این اطلاعات با هکرها به اشتراک گذاشته می‌شود که اگر اطلاعات شخصی حساس از جمله گواهینامه رانندگی یا شماره امنیت اجتماعی در سرویس‌هایی مانند OneDrive ذخیره شود، می‌توانند حساب‌ها را بدزدند، مرتکب کلاهبرداری یا حتی سرقت هویت شوند.

برای جلوگیری از قربانی شدن بدافزارهای فریبنده، هوشیار باشید و برنامه‌ها را از فروشگاه رسمی Google Play دانلود کنید و مطمئن شوید که قانونی هستند و از فروشگاه‌های شخص ثالث یا وب‌سایت‌های مشکوک نیستند. مراقب برنامه‌هایی باشید که مجوزهای بیش از حد درخواست می کنند، به ویژه آنهایی که به عملکرد اصلی برنامه مرتبط نیستند.

محققان امنیت سایبری در پلتفرم امنیت سایبری Veriti کشف کردند که موج جدیدی از حملات سایبری روی داده های حساس در بخش آموزش کشورهای اروپایی و امریکا متمرکز شده است. این کمپین از ترکیب دو نوع بدافزار استفاده می‌کند: Agent Tesla و Taskun.
 

Agent Tesla یک بدافزار بدنام و نرم افزار جاسوسی پیچیده است که برای سرقت ارزشمندترین داده های کاربر طراحی شده است. این بدافزار برای گرفتن کلید، اسکرین شات و حتی اعتبارنامه ورود به سیستم برای برنامه های مختلف از جمله مرورگرها و VPN ها شناخته شده است. با این اطلاعات دزدیده شده، مهاجمان به حساب های کاربری و سیستم های بالقوه حساس دسترسی غیرمجاز پیدا می کنند.

از سوی دیگر، طبق پست وبلاگ Veriti، Taskun به عنوان شریک کامل برای فعالیت های مخرب مامور تسلا عمل می کند. این با به خطر انداختن یکپارچگی سیستم کار می‌کند و یک درب پشتی برای عامل تسلا ایجاد می‌کند تا بتواند به آن نفوذ کند و پایداری ایجاد کند. این امر به عامل تسلا اجازه می دهد تا برای مدت طولانی ناشناخته بماند، نفوذ خود را در سیستم عمیق تر کرده و سرقت اطلاعات را به حداکثر می رساند.

مهم است که تاکید کنیم تاسکون و عامل تسلا اخیراً به عنوان همدست در کمپین مشابهی کشف شدند. محققان مشاهده کردند که TicTacToe Dropper دستگاه های ویندوزی را هدف قرار می دهد و متعاقباً آنها را با Leonem، AgentTesla، SnakeLogger، LokiBot، Remcos، RemLoader، Sabsik، Taskun، Androm و Upatre آلوده می کند.

در مورد جدیدترین کمپین، این حمله از طریق پیوست‌های ایمیل مخرب با سوء استفاده از آسیب‌پذیری‌های نرم‌افزار سیستم‌عامل ویندوز مانند مایکروسافت آفیس، یکی از نرم‌افزارهای مورد سوءاستفاده در حملات بدافزار، انجام می‌شود.

از آنجا که موسسات آموزشی و سازمان‌های دولتی اغلب منبعی از داده‌های حساس را در اختیار دارند که آنها را به اهداف اصلی مجرمان سایبری تبدیل می‌کند. این داده‌ها می تواند شامل سوابق دانشجویی، یافته های تحقیق، شماره های تامین اجتماعی و سایر اطلاعات محرمانه باشد.

موسسات می توانند با اعمال سریع وصله های امنیتی، آموزش کاربران در مورد آگاهی از امنیت سایبری و اجرای یک رویکرد امنیتی چند لایه، دفاع امنیت سایبری خود را در برابر تهدیدات سایبری تقویت کنند. اصلاح منظم آسیب‌پذیری‌ها، ارائه آموزش‌های آگاهی از امنیت سایبری و اجرای یک رویکرد امنیتی چندلایه می‌تواند به محافظت از داده‌های حساس کمک کند.