BrazKing Android البرامج الضارة

BrazKing هو برنامج ضار للخدمات المصرفية عبر الهاتف المحمول ينفذ هجمات تراكب لجمع بيانات الاعتماد المصرفية لضحاياها. يستهدف التهديد أجهزة ANdroid والمستخدمين الموجودين في البرازيلفي الغالب ، مما قد يشير إلى أن مشغليها موجودون أيضًا في المنطقة. سلط الباحثون في IBM Trusteer الضوء على التهديد من خلال إصدار تقرير بالنتائج التي توصلوا إليها بعد تحليل العديد من عينات BrazKing. حتى الآن ، الخبراء واثقون من أن BrazKing لا يزال قيد التطويربنشاط بسبب الاختلافات الكبيرة التي أدخلت في الإصدارات الأحدث من التهديد.

إساءة استخدام خدمة الوصول في Android

تهدف ميزة إمكانية الوصول إلى جعل استخدام الجهاز المحمول أكثر راحة للأشخاص ذوي الإعاقة. لكن،لقد شحذ مجرمو الإنترنت ذلك وهم يستغلون الخدمة لأداء العديد من الإجراءات الشائنة على الأجهزة المصابة. تعتمد BrazKing على خدمة إمكانية الوصولعلى نطاق واسع ، لأن هذا يسمح للتهديد بالحد من عدد الأذونات المحددة التي يجب أن يمنحها المستخدم. نتيجة لذلك ، يطلب BrazKing عددًا صغيرًا من الأذونات الأقل شبهة.

في الخلفية ، يمكن لـ BrazKing محاكاة نقرات الشاشة ، وإنشاء إجراءات تسجيل لوحة المفاتيح ، والعمل بمثابة RAT (حصان طروادة للوصول عن بُعد) ، واعتراض الرسائل القصيرة وقراءتها عن طريق التقاط نص الرسائل أثناء عرضها على الشاشة ، والوصول إلى قوائم جهات اتصال المستخدم عن طريق قراءتها من شاشة "جهات الاتصال" بصمت. يُنشئ التهديد أيضًا آلية استمرار تستند إلى وظائف خدمة إمكانية الوصول. إذا حاول المستخدمون استعادة الجهاز المصاب إلى إعدادات المصنع الخاصة به ، فسيقوم BrazKing على الفور بمحاكاة النقر على زر "رجوع" و "الصفحة الرئيسية". تُستخدم نفس التقنية أيضًا لمنع المستخدمين من إطلاق حلول مكافحة البرامج الضارة أو محاولة إجراء فحص للجهاز.

ناقل العدوى

يتم خداع الضحايا لتثبيت التهديد عبر رسائل التصيد التي تحمل عنوان URL لموقع ويب خادع. يستخدم موقع الويب المخادع تكتيكات التخويف مثل الادعاء بأن جهاز المستخدم لديه أمان قديم وأنه سيتم حظره. لإصلاح هذه المشكلة غير الموجودة ، يتم توجيه المستخدمين للنقر فوق الزر المتوفر الذي من المفترض أن يقوم "بتحديث" نظام تشغيل الجهاز. في الواقع ، ستوفر البرامج الضارة BrazKing Android. سيظل المستخدمون بحاجة إلى الموافقة على التنزيل لأن التطبيق قادم من مصدر غير معروف. بعد ذلك ، سيحاول التهديد الحصول على الأذونات الصغيرة التي يحتاجها لإخفائها كمتطلبات Google.

هجمات التراكب

جلبت إصدارات BrazKing السابقة شاشة تسجيل الدخول المزيفة للتطبيقات المصرفية المستهدفة من عنوان URL مشفر. تحولت الإصدارات الأحدث بعيدًا عن هذه التقنية لتصبح أكثر انسيابية ورشاقة ومراوغة. في الواقع ، يقوم التهديد الآن بإجراء مكالمة آلية إلى خادم الأوامر والتحكم (C2 ، C&C) الخاص به ويطلب شاشة التراكب اللازمة أثناء التنقل. يحدد مجرمو الإنترنت الآن متى يتم تشغيل تطبيق مناسب من قبل الضحية ومتى يتم تنشيط عملية الاستيلاء على بيانات الاعتماد بدلاً من تركها لوظيفة آلية داخل التهديد نفسه.

ميزة أخرى لهجمات BrazKing هي أنها لا تتطلب إذن "android.permission.SYSTEM_ALERT_WINDOW" المعتمد من المستخدم. بدلاً من ذلك ، تقوم البرامج الضارة بتحميل عنوان URL لشاشة التراكب إلى عرض ويب وتعرضه في نافذة.

تستمر البرامج الضارة للخدمات المصرفية عبر الهاتف المحمول في التطور ويجب على المستخدمين اتخاذ التدابير اللازمة لحماية أجهزتهم وعدم تعريض أنفسهم لمخاطر غير ضرورية.