بدافزارهای کشف شده از نظر ساختار کد و استفاده از سرور مشترک کنترل و فرمان، به تروجان بانکی Anubis شباهت دارند. این بدافزار در دو سال گذشته دستگاههای اندرویدی را هدف قرار داده است.
این دو برنامه Currency Converter و BatterySaverMobi نام دارند. نکته قابل توجه درباره این برنامهها، توانایی استفاده از سنسور حرکتی برای تشخیص اجرا در یک sandbox تحلیل بدافزار است که در این صورت رفتار مخرب آنها متوقف خواهد شد.
با کمک یک صفحه بهروزرسانی سیستمی جعلی، این دو برنامه سعی در اخذ امتیازات و دسترسیهای سطح ادمین دارند.
منتقلکننده داخلی بدافزار، با درخواستهای Twitter یا Telegramبا سرور C&C خود تماس میگیرد و با استفاده از درخواستهای HTTP POST خواستار دستورات جدید میشود. سپس سرور C&C لینک دانلود برنامهای را ارسال خواهد کرد که توسط منتقلکننده بر روی دستگاه نصب میشود.
هنگامی که تروجان بانکی Anubis روی دستگاه قربانی قرار گیرد، شروع به جمعآوری اطلاعات بانکی با استفاده از یک ماژول کلیدنگار داخلی میکند و یا با گرفتن عکس از صفحهنمایش، هنگام ورود اطلاعات به برنامههای بانکی، اطلاعات را به سرقت میبرد.
تروجان Anubis برای حمله به ۳۷۷ برنامه مختلف بانکی از ۹۳ کشور در سراسر جهان و همچنین برنامههای غیربانکی مانند Amazon،eBay و PayPal مورد استفاده قرارگرفته است.
علاوه بر علاقه به جمعآوری اطلاعات بانکی، این گونه بدافزارها دارای قابلیتهای دیگری از قبیل تواناییهای باجافزاری، تروجان (مانند ضبط صدا، ردیابی موقعیت مکانی)، ارسال پیامکهای اسپم و تماس با شمارههای خاص هستند.
قسمت باجافزاری، فایلها را رمزگذاری می کند و دنباله .Anubiscrypt را به آنها اختصاص میدهد. نکته مهم این است که این رمزگذاری روی گوشی انجام میشود که احتمال وجود نسخه پشتیبان فایلها در آن کمتر و احتمال وجود اطلاعات باارزش و عکسهای شخصی در آن بیشتر است.
وجود برنامههای آلوده در Google Play نشان دهنده مهارت عاملان این برنامهها است که با موفقیت بدافزار خود را از لایههای دفاعی Google Play مخفی میکنند.
نشانههای آلودگی (IoC):
هش (SHA۲۵۶):
• b۰۱۲eb۵۵۳۸ad۱d۵۶c۵bdf۹fe۹۵۶۲۷۹۱a۱۶۳dffa۴
• bc۸۷c۹fffcdac۴eea۱b۸۴c۶۲۸۴۲ce۱۱۳۸fd۹۰ed۶
• ۷e۰۲۵e۲۱d۴۴۵be۹b۶b۱۲a۹۱۸۱ada۴bab۳db۵۸۱۹c
• e۲۹c۸۱۴c۲۵۲۷ebbac۱۱۳۹۸۸۷۷beea۲bc۷۵b۵۸ffd
• ۱۶fc۹bc۹۶f۵۸ba۳۵a۰۴ade۲d۹۶۱b۰۱۰۸d۱۳۵caa۵
سرور فرمان و کنترل:
• areadozemode.space
• selectnew۲۵mode.space
• twethujsnu.cc
• project۲anub.xyz
• taiprotectsq.xyz
• uwannaplaygame.space
• projectpredator.space
• nihaobrazzzahit.top
• aserogeege.space
• hdfuckedin۱۸.top
• dingpsounda.space
• wantddantiprot.space
• privateanbshouse.space
• seconddoxed.space
• firstdoxed.space
• oauth۳.html۵۱۰۰.com
• dosandiq.space
• protect۴juls.space
• wijariief.space
انتهای پیام/