قیمت چند مجوز تخفیف
پایگاه داده تهدید بدافزار موبایل تروجان بانکی BeatBanker

تروجان بانکی BeatBanker

تا Mezo در بدافزار موبایل, تروجان بانکی
ترجمه به:

BeatBanker یک بدافزار پیچیده اندرویدی است که از طریق وب‌سایت‌های جعلی که برای تقلید از فروشگاه گوگل پلی طراحی شده‌اند، توزیع می‌شود. این کمپین مخرب، کاربران را فریب می‌دهد تا برنامه‌هایی را دانلود کنند که به نظر قانونی می‌رسند، اما در واقع یک تروجان بانکی قدرتمند را همراه با قابلیت‌های استخراج ارزهای دیجیتال ارائه می‌دهند. پس از نصب، این بدافزار می‌تواند دستگاه آلوده را ربوده، رابط‌های کاربری را دستکاری کرده و تراکنش‌های مالی غیرمجاز انجام دهد. حذف فوری پس از شناسایی تهدید ضروری است، زیرا ادامه فعالیت می‌تواند منجر به خسارات مالی، نقض حریم خصوصی و به خطر افتادن طولانی مدت دستگاه شود.

تکنیک‌های اجرای بدون فایل و ضد تحلیل

پس از اجرا، BeatBanker با جمع‌آوری اطلاعات ضروری شبکه، از جمله آدرس IP دستگاه، نوع دستگاه، وضعیت استفاده از VPN و جزئیات اتصال مرتبط، شروع به کار می‌کند. این بدافزار به جای ذخیره اجزای مخرب خود به عنوان فایل در حافظه دستگاه، کد خود را مستقیماً در حافظه بارگذاری می‌کند. این تکنیک اجرای بدون فایل، احتمال شناسایی توسط ابزارهای امنیتی سنتی موبایل را به میزان قابل توجهی کاهش می‌دهد.

برای جلوگیری بیشتر از تجزیه و تحلیل، BeatBanker بررسی می‌کند که آیا در یک محیط آزمایشی یا تحقیقاتی، مانند یک شبیه‌ساز یا جعبه شنی، اجرا می‌شود یا خیر. در صورت شناسایی چنین شرایطی، بدافزار بلافاصله عملیات خود را خاتمه می‌دهد. این مکانیسم دفاعی به جلوگیری از تجزیه و تحلیل رفتار آن توسط محققان امنیت سایبری و سیستم‌های خودکار کمک می‌کند.

مهندسی اجتماعی از طریق صفحات جعلی فروشگاه گوگل پلی

پس از عبور از بررسی‌های محیطی، BeatBanker یک رابط کاربری جعلی را نمایش می‌دهد که بسیار شبیه صفحه فروشگاه گوگل پلی برای برنامه‌ای با برچسب «INSS Reembolso» است و به دروغ ادعا می‌کند که به‌روزرسانی نرم‌افزار مورد نیاز است. هنگامی که کاربر گزینه «به‌روزرسانی» را انتخاب می‌کند، بدافزار درخواست مجوز نصب برنامه‌ها را می‌کند و اجزای مخرب پنهان را دانلود می‌کند.

این بدافزار به جای تکیه بر زیرساخت قانونی گوگل پلی، این اجزا را مستقیماً با سوءاستفاده از مجوزهای نصب بالا نصب می‌کند. برای حفظ پایداری، این بدافزار یک اعلان به‌روزرسانی سیستم فریبنده ایجاد می‌کند و یک سرویس پیش‌زمینه را اجرا می‌کند که بی‌سروصدا رسانه‌ها را پخش می‌کند و مانع از خاتمه فرآیند مخرب توسط سیستم عامل می‌شود.

استخراج ارز دیجیتال روی دستگاه‌های قربانی

یکی از پیلودهای پنهان BeatBanker، یک استخراج‌کننده‌ی ارز دیجیتال است که در یک فایل دانلود شده جاسازی شده است. این مؤلفه، نسخه‌ی اصلاح‌شده‌ای از XMRig است که برای بهره‌برداری از منابع CPU دستگاه آلوده جهت استخراج ارز دیجیتال به نمایندگی از مهاجمان طراحی شده است.

این بدافزار با نظارت بر پارامترهای سیستم مانند سطح باتری، دمای دستگاه و فعالیت کاربر، فعالیت ماینینگ را به صورت هوشمند مدیریت می‌کند. بر اساس این شرایط، ماینر می‌تواند به طور خودکار عملیات خود را شروع یا متوقف کند تا سوءظن را کاهش داده و مدت زمان آلودگی را طولانی‌تر کند.

سازوکارهای سرقت تروجان‌های بانکی و ارزهای دیجیتال

در کنار قابلیت استخراج ارز دیجیتال، BeatBanker یک تروجان بانکی را مستقر می‌کند که تلاش می‌کند مجوزهای دسترسی را به دست آورد. اعطای این مجوزها به مهاجمان اجازه می‌دهد تا رابط دستگاه را کنترل کرده و تعاملات کاربر را زیر نظر داشته باشند.

این بدافزار به‌طور فعال برنامه‌های باز شده را ردیابی می‌کند و به‌طور خاص پلتفرم‌های ارز دیجیتال مانند Binance و Trust Wallet را با تمرکز ویژه بر تراکنش‌های USDT هدف قرار می‌دهد. هنگامی که یک قربانی انتقال را آغاز می‌کند، BeatBanker رابط تراکنش قانونی را با یک صفحه جعلی می‌پوشاند. در طول این فرآیند، بدافزار به‌طور مخفیانه آدرس گیرنده مورد نظر را با آدرسی که توسط مهاجمان کنترل می‌شود جایگزین می‌کند و باعث می‌شود وجوه بدون اطلاع قربانی هدایت شوند.

ماژول بانکی همچنین وجود چندین مرورگر موبایل رایج را ارزیابی کرده و اطلاعات مرور را جمع‌آوری می‌کند. این ماژول می‌تواند با اضافه کردن، ویرایش، حذف یا فهرست کردن ورودی‌ها، لینک‌های ذخیره شده در مرورگر پیش‌فرض را دستکاری کند و می‌تواند URL های ارائه شده توسط مهاجم را باز کند.

قابلیت‌های فرماندهی و کنترل و دستکاری دستگاه

BeatBanker با یک سرور فرمان و کنترل (C2) ارتباط برقرار می‌کند و به مهاجمان اجازه می‌دهد تا از راه دور دستگاه‌های آلوده را مدیریت کرده و دستوراتی را صادر کنند. از طریق این زیرساخت، این بدافزار می‌تواند طیف گسترده‌ای از اقدامات مخرب از جمله نمایش به‌روزرسانی‌های جعلی سیستم، قفل کردن صفحه دستگاه، استخراج محتوای کلیپ‌بورد و انتقال ضبط‌های صوتی به عوامل تهدید را اجرا کند.

قابلیت‌های اضافی شامل امکان ارسال پیامک، باز کردن لینک‌های تحت کنترل مهاجم در مرورگرها، به‌روزرسانی اعتبارنامه‌های ذخیره‌شده و فهرست کردن فایل‌های ذخیره‌شده در دستگاه است. این بدافزار همچنین می‌تواند اقدامات مخربی مانند حذف فایل‌ها، شروع تنظیم مجدد کارخانه یا حذف خود برای از بین بردن ردپاها پس از اتمام عملیات انجام دهد.

ویژگی های نظارت و استخراج داده ها

فراتر از سرقت مالی، BeatBanker به عنوان یک ابزار نظارتی گسترده عمل می‌کند. این ابزار قادر به ضبط کلیدهای فشرده شده، استخراج متن نمایش داده شده روی صفحه، گرفتن اسکرین شات و پخش زنده صفحه دستگاه است. نظارت مداوم بر برنامه‌های در حال اجرا به مهاجمان اجازه می‌دهد تا رفتار کاربر را مشاهده کرده و اطلاعات حساس را جمع‌آوری کنند.

این بدافزار همچنین شامل مکانیسم‌های کنترل دستگاه اضافی، از جمله نظارت بر برنامه‌ها، یک فایروال داخلی که می‌تواند برنامه‌های انتخاب‌شده را مسدود یا مجاز کند، ایجاد اعلان‌های مداوم و قابلیت مدیریت اتصالات VPN است.

سازوکارهای سوءاستفاده و ماندگاری مجوزها

BeatBanker به شدت به مجوزهای پرخطر اندروید متکی است که کنترل آن را بر دستگاه به میزان قابل توجهی گسترش می‌دهد. این مجوزها به بدافزار اجازه می‌دهد تا پایداری خود را حفظ کند، اقدامات را خودکار کند و دستورات را بدون آگاهی کاربر اجرا کند.

قابلیت‌های کلیدی فعال‌شده توسط این مجوزها عبارتند از:

  • دسترسی به قابلیت دسترسی، امکان ضربه زدن، کشیدن انگشت و دستکاری خودکار رابط کاربری
  • مجوزهای همپوشانی که امکان نمایش صفحات جعلی روی برنامه‌های قانونی را فراهم می‌کنند
  • اجازه نصب برنامه‌ها از منابع ناشناس، که امکان نصب بی‌سروصدای اجزای مخرب اضافی را فراهم می‌کند
  • امکان باز کردن لینک‌ها، اجرای کدهای USSD و استقرار بسته‌های بدافزار بیشتر

این امتیازات، دستگاه آلوده را به یک پلتفرم کنترل از راه دور تبدیل می‌کند که قادر به اجرای عملیات مخرب پیچیده است.

گونه نوظهوری که خود را به عنوان یک برنامه StarLink پنهان کرده است

محققان امنیتی نوع جدیدتری از BeatBanker را شناسایی کرده‌اند که خود را به عنوان یک برنامه جعلی StarLink جا می‌زند و کاربران اندروید را هدف قرار می‌دهد. برخلاف نسخه‌های قبلی، این نوع، مؤلفه تروجان بانکی سنتی را نصب نمی‌کند.

در عوض، تروجان مدیریت از راه دور BTMOB (RAT) را مستقر می‌کند. BTMOB به مهاجمان دسترسی کامل از راه دور به دستگاه‌های آسیب‌دیده می‌دهد و به عنوان بدافزار به عنوان سرویس (MaaS) توزیع می‌شود و به مجرمان سایبری این امکان را می‌دهد که بدون توسعه زیرساخت بدافزار خود، این ابزار را خریداری و مستقر کنند.

ناقل عفونت و تأثیر عملیاتی

آلودگی‌های BeatBanker معمولاً با یک کمپین فیشینگ آغاز می‌شوند که قربانیان را به وب‌سایت‌های جعلی که شبیه فروشگاه رسمی گوگل پلی طراحی شده‌اند، هدایت می‌کند. کاربران ترغیب می‌شوند تا برنامه‌های مخربی را که به عنوان سرویس‌های مرتبط با دولت مانند «INSS Reembolso» یا برنامه‌های کاربردی جعلی مشابه معرفی می‌شوند، دانلود کنند.

پس از نصب برنامه‌ی جعلی توسط قربانی، دستگاه در معرض خطر قرار می‌گیرد. پس از فعال‌سازی، BeatBanker اجزای اضافی، از جمله استخراج‌کننده‌ی ارز دیجیتال، را بازیابی کرده و دسترسی مداوم به دستگاه را برقرار می‌کند.

قابلیت‌های ترکیبی این بدافزار به مهاجمان اجازه می‌دهد تا به استخراج ارز دیجیتال، سرقت داده‌های مالی، دستکاری تراکنش‌ها و کنترل از راه دور دستگاه‌های آلوده بپردازند. برخی از انواع آن همچنین بدافزارهای دیگری مانند BTMOB را نیز پیاده‌سازی می‌کنند و به مهاجمان دسترسی طولانی مدت و نامحدود به سیستم‌های آسیب‌دیده می‌دهند.

پرطرفدار

پربیننده ترین

بارگذاری...