طبق گزارش Threat Fabric این تروجان طوری نوشته شده که میتواند در جهت دستیابی مهاجم به اهداف مختلفی استفاده شود: تروجان بانکی، keylogger و باج افزار.
طبق تحلیلهای انجام شده از متن کدهای این بدافزار مشخص شده است که تروجان فوق میتواند از دستگاه های آلوده تماس بگیرند، تماسها را forward کنند، تمامی sms ها را سرقت کنند،sms بفرستند،sms ها را پاک کنند، لیست contact را کپی کنند، لیست contact را spam کنند یعنی با تعداد زیادی ورودی بی معنا و چرند و پرند آنرا پر کنند، و خیلی کارهای دیگر.
مهمترین دستورات موجود در کدهای این بدافزار Keylogg و Screenlock هستند.Keylogg همه متن های وارد شده به دستگاه آلوده را سرقت میکند. Screenlock فایلهای موجود روی SD کارت خارجی را رمزگذاری کرده و تمامی contact های گوشی را پاک میکند که حرکتی کاملن باج افزار گونه است.
نکته حایز اهمیت در مورد این بدافزار این است که بسیاری از بخشهای خاص و نوآورانه آن در حال توسعه هستند که اگر توسعه آنها تا الان تکمیل شده باشه خواهد توانست از محدودیتهای ویژگی پوشش (Overlay Feature) موجود در اندروید ۷ و ۸ رد شود.
ویژگی پوشش (Overlay Feature) در اندورید ۷ و ۸ به اپلیکیشن های خاص مانند آنتی ویروسها، password manager ها و اپ های دیگری که کاربری مدیریتی دارند اجازه میدهد که روی سایر اپ ها بتوانند notification بدهند. حتمن این ویژگی را تا الان دیده اید. اما این ویژگی مورد سوء استفاده بدافزارهای بانکی نیز قرار گرفته و بدافزارهای بانکی توانسته اند با سوء استفاده از این ویژگی مفید کاربر را مجبور کنند به صفحات لاگین جعلی وارد شده و رمز عبور حساب بانکی خود را وارد کند.
این بدافزار با ماسکه کردن یک فلش پلیر و تقاضا برای یک مورد Usage Access میتواند بفهمد اپ های موجود روی گوشی چه زمانی باز خواهند شد تا بتواند زمان مناسب برای نمایش صفحات مخصوص کلاه برداری خود را نمایش دهد. این بدافزار تعداد زیای از اپ های بانکی و سوشال که این روزها تا حد زیادی قابلیتهای کار بانکی در آنها تعبیه شده و روز به روز در حال گسترش این خدمات هستند را هدف قرار میدهد.
سوالی که پیش می آید این است که حالا باید چه کنیم؟ چگونه ریسک حمله توسط چنین موجودات خطرناکی را پایین بیاوریم؟
در جواب باید گفت، اول از همه مواظب محتوایی که با دستگاه اندرویدی خود در حال استفاده هستید باشید. بسیاری از این بدافزارها از دو منبع زیر توزیع میشوند:
۱- سایتهایی که به دلایل مختلف بطور ذاتی نا امن هستند مانند شرط بندی، غیراخلاقی، بازی، قمار، دانلود کرک،torrent و … اینها معمولن هم امنیت پایینی دارند و هم اینکه هکرها به آنها علاقه داشته و در آنها حضور دارند!
۲- اپ استورهایی غیر از اپ استور اصلی یعنی Google Play Store. بارها و بارها در جاهای مختلف گفته ام که به غیر از Google Play Store از هیچ اپ استور دیگری اپ نصب نکنید. چقدرم که شما گوش میکنین! بارها دیده شده که اپ استورهای دیگر داخل کدهای اپ اصلی کدهای دیگری تزریق کرده اند تا بوسیله آن بتوانند از دیگر استفاده های شما از گوشی تان منفعت ببرند. بنابراین بارها دیده شده در اپ استور مثلن کافه بازار که حجم اپ X در Google Play صد کیلوبایت است اما در کافه بازار سیصد کیلوبایت! این دویست کیلوبایت اضافی بنظر شما چه میتواند باشد؟! کافه بازار، روبیکا، اول مارکت، Aptoide، ApkMirror، Mobogenie، SlideMe، GetJar، Amazon Appstore، Opera Mobile Store و سایرین هیچ کدام به اندازه Google Play Store قابل اطمینان نیستند. دقت کنید که بعضی موارد گفته شده مانند Amazon Appstore و Opera Mobile Store کاملن قانونی هستند و مورد تایید گوگل اما باز هم تاکید همه کارشناسان در این مورد همان است که گفتم؛ فقط Google Play Store.
دوم اینکه از یک اپ امنیتی درست و حسابی که هم قدرتمند و سبک باشد و هم به ایران آپدیت بدهد را نصب کنید. آنتی ویروسهای جور واجوری برای اندروید وجود دارند با ویژگی های ریز و درشت مختلف که بعضن انتخاب را برای کاربر خارجی سخت میکند. اما برای کاربر ایرانی یک محدودیت خوب (البته از نظر بنده) دارد: آپدیت دادن به ایران! خفن ترین آنتی ویروس اگر آپدیت نشود یک آنتی ویروس مرده است. به گزارش CNN روزانه بیش از ۳۱۷ میلیون نوع جدید بدافزار در دنیا توزیع میشود! بنابراین یه سرچ گوگل بزنید و یکسری اپ ها را تست کنید. اول تست کنید که آپدیت بشود بعد ببینید در review ها و تسهای معتبر چه امتیازی به آن داده اند. با چشم باز انتخاب کنید.
برگرفته از [securityboulevard.com]
