بدافزار جدید بدافزار اندرویدی میتواند کدهای 2FA شما را بدزدد – آیا تلفن شما تحت تأثیر قرار گرفته است؟
بررسی نقطه چک (CPR)، یک تیم تحقیقاتی امنیت سایبری، کشف کرد آ غرغر بدافزار اندرویدی به نام FluHorse. این نرمافزار مخرب و بیمارگونه توانایی تقلید از برنامههای قانونی را دارد و قربانیان ناآگاه را به لانه فریبنده خود میکشاند.
بدتر از همه، FluHorse میتواند ماهها در دستگاه شما خاموش بماند، شناسایی نشده باقی بماند و زیر رادار شما پرواز کند. محققان Check Point Research این تهدید را “مداوم، خطرناک و به سختی قابل تشخیص” نامیدند.
فلو هورس چه کاری می تواند انجام دهد؟
همانطور که گفته شد، FluHorse شیوه عمل در حال تقلید از برنامه های واقعی برای گمراه کردن قربانیان به لانه فریبنده خود است. به عنوان مثال، محققان دریافتند که این بدافزار به عنوان یک برنامه جمعآوری عوارض محبوب مستقر در تایوان در Google Play ظاهر شده است.
بر اساس گزارش CPR، مهاجمان پشت سر FluHorse اغلب از برنامه های بانکی و حمل و نقل بزرگ تقلید می کردند، اما این گزارش نام این برنامه های مخرب را فاش نکرد. اکثر این برنامه های آلوده به FluHorse، طبق CPR، بیش از 1,000,000 نصب می کند. بله!
در گزارش CPR آمده است: «اپراتورهای بدافزار تلاش کردند تا با دقت تمام جزئیات کلیدی رابط را تقلید کنند تا از ایجاد هرگونه سوء ظنی جلوگیری کنند.
هنگامی که FluHorse راه خود را به دستگاه قربانی میچرخاند، میتواند اعتبار و کدهای احراز هویت دو مرحلهای (2FA) آنها را بدزدد. چگونه؟ اولاً، پس از نصب برنامه imposter، از قربانیان می خواهد که به آن اجازه ارسال و مشاهده پیامک ها را بدهند.
در مرحله بعد، از معادن خواسته می شود تا اعتبار خود را وارد کنند (به عنوان مثال، رمز عبور و جزئیات کارت اعتباری). در برخی مواقع، یک سرور فرمان و کنترل هرگونه ترافیک پیامکی دریافتی را برای ربودن کدهای 2FA رهگیری می کند. نحوه عملکرد بدافزار را به صورت گام به گام با نمودار ارائه شده در زیر مشاهده کنید.
چگونه این برنامه های آلوده به FluHorse در تلفن های کاربران قرار می گیرند؟ یک کمپین فیشینگ پیچیده که قربانیان را فریب می دهد تا برنامه ها را به عنوان APK نصب کنند. در این گزارش آمده است: «ما زنجیرههای عفونت را برای انواع مختلف برنامههای مخرب ردیابی کردیم و چندین نهاد با مشخصات بالا را در میان گیرندگان این ایمیلها کشف کردیم.
CPR اشاره کرد که چارچوبی که زیربنای این برنامههای مخرب است، Flutter است، یک کیت توسعه نرمافزار منبع باز ایجاد شده توسط Google. بر اساس گزارش CPR، بازارهای آسیای شرقی، هدف اصلی FluHorse بودند، اما این بدان معنا نیست که اگر خارج از آن منطقه هستید، از آن دور هستید.
مثل همیشه، اخلاقیات داستان این است که از نصب برنامههای اندروید از فروشگاههای برنامههای شخص ثالث غیر معتبر، ایمیلهای مشکوک و سایر کانالهای مخاطرهآمیز خودداری کنید. فروشگاه Google Play معایبی دارد، اما پلتفرم بسیار امنتری نسبت به منابع ذکر شده است.
بازگشت به لپ تاپ های اولترابوک
