13:06 1400/12/4
353
شرکت بیتبانهک حساب بانکی و والت رمزارز در گوگل پلی
بهتازگی یک تروجان بانکی در قالب برنامهی Fast Cleaner در گوگل پلی شناسایی شده، که در صورت نصب بر دستگاه کاربر، میتواند اطلاعات حسابهای بانکی و والتهای رمزارز وی را ضبط، کدهای 2FA را دریافت، و در نهایت حساب و والت کاربر را خالی نماید.
برنامهی Fast Cleaner بیش از ۵۰ هزار نصب در گوگل پلی داشته، و کارکرد خود را افزایش سرعت گوشی از طریق حذف فایلهای اضافی و موانع بهینهسازی باتری بیان کرده است.
این بدافزار که Xenomorph نامیده شده، با استفاده از Accessibility Services تمام مجوزهای موردنیازش را دریافت و لاگهای دستگاه را جمعآوری میکند.
این تروجان از طریق حمله Overlay به طیف گستردهای از برنامههای بانکی و والتهای رمزارز نفوذ و اطلاعات کاربر را با استفاده از صفحات جعلی سرقت میکند.
طرح حمله Overlay در بدافزار Xenomorph
ابتدا لیستی از برنامههای نصب شده بر دستگاه کاربر را به سرور ارسال میکند، سپس برای هر برنامهای که در لیست هدف باشد، یک صفحه /درگاه جعلی دانلود و در برنامهی مذکور که عمدتا اپلیکیشنهای بانکی و والتهای رمزارزها هستند، تزریق میکند.
حال با استفاده از اطلاعاتی که کاربر در این درگاههای جعلی وارد میکند و همچنین مجوز دسترسی به پیامکها، میتواند کدهای احراز هویت دو عاملی را بخواند و از این طریق حساب بانکی یا والت رمزارز قربانی را خالی کند.
بدافزار Xenomorph توسط اپلیکیشن ضدبدافزار بیتبان شناسایی میشود.
مشخصات تروجان بانکی Xenomorph
| نام برنامه | نام بسته | SHA-256 |
|---|---|---|
| Fast Cleaner | com.census.turkey | 64c0f71d9c903f7b22a193a7844ea98a5f9db62b4dcc139f75f6d9698645f369 |
| Fast Cleaner | com.laundry.vessel | 76e9359cfa98bb326f544577394b007132db63fd19fedde73a76162744b93c6f |
| Fast Cleaner | com.tip.equip | 2d6f26c16d29d4e68ece44e3ac558cd557d906684ee1a546ea982e7a64ddf0ce |
| Fast Cleaner | com.spike.old | 2877b27f1b6c7db466351618dda4f05d6a15e9a26028f3fc064fa144ec3a1850 |
اپلیکیشنهای مورد هدف بدافزار Xenomorph
| نام بسته | نام برنامه |
| ca.mobile.explorer | CA Mobile |
| cgd.pt.caixadirectaparticulares | Caixadirecta |
| com.abanca.bm.pt | ABANCA - Portugal |
| com.bbva.mobile.pt | BBVA Portugal |
| com.exictos.mbanka.bic | Banco BIC, SA |
| pt.bancobpi.mobile.fiabilizacao | BPI APP |
| pt.novobanco.nbapp | NB smart app |
| pt.sibs.android.mbway | MB WAY |
| wit.android.bcpBankingApp.millennium | Millenniumbcp |
| be.argenta.bankieren | Argenta Banking |
| be.axa.mobilebanking | Mobile Banking Service |
| be.belfius.directmobile.android | Belfius Mobile |
| com.beobank_prod.bad | Beobank Mobile |
| com.bnpp.easybanking | Easy Banking App |
| com.ing.banking | ING Banking |
| com.kbc.mobile.android.phone.kbc | KBC Mobile |
| com.binance.dev | Binance - Buy & Sell Bitcoin Securely |
| com.bitfinex.mobileapp | Bitfinex |
| com.coinbase.android | Coinbase – Buy & Sell Bitcoin. Crypto Wallet |
| com.kraken.trade | Pro: Advanced Bitcoin & Crypto Trading |
| com.plunien.poloniex | Poloniex Crypto Exchange |
| com.squareup.cash | Cash App |
| com.transferwise.android | TransferWise Money Transfer |
| com.wavesplatform.wallet | Waves.Exchange |
| net.bitbay.bitcoin | Bitcoin & Crypto Exchange - BitBay |
| net.bitstamp.app | Bitstamp – Buy & Sell Bitcoin at Crypto Exchange |
| org.electrum.electrum | Electrum Bitcoin Wallet |
| piuk.blockchain.android | Blockchain Wallet. Bitcoin, Bitcoin Cash, Ethereum |
| app.wizink.es | WiZink, tu banco senZillo |
| com.bankinter.launcher | Bankinter Móvil |
| com.bbva.bbvacontigo | BBVA Spain |
| com.bbva.netcash | BBVA Net Cash ES & PT |
| com.cajasur.android | Cajasur |
| com.db.pbc.mibanco | Mi Banco db |
| com.grupocajamar.wefferent | Grupo Cajamar |
| com.imaginbank.app | imaginBank - Your mobile bank |
| com.indra.itecban.mobile.novobanco | NBapp Spain |
| com.indra.itecban.triodosbank.mobile.banking | Triodos Bank. Banca Móvil |
| com.mediolanum | Banco Mediolanum España |
| com.rsi | ruralvía |
| com.targoes_prod.bad | TARGOBANK - Banca a distancia |
| com.tecnocom.cajalaboral | Banca Móvil Laboral Kutxa |
| es.bancosantander.apps | Santander |
| es.caixagalicia.activamovil | ABANCA- Banca Móvil |
| es.caixaontinyent.caixaontinyentapp | Caixa Ontinyent |
| es.cecabank.ealia2091appstore | ABANCA Pay - Paga y envía dinero con el móvil |
| es.cecabank.ealia2103appstore | UniPay Unicaja |
| es.cm.android | Bankia |
| es.evobanco.bancamovil | EVO Banco móvil |
| es.ibercaja.ibercajaapp | Ibercaja |
| es.lacaixa.mobile.android.newwapicon | CaixaBank |
| es.liberbank.cajasturapp | Banca Digital Liberbank |
| es.openbank.mobile | Openbank – banca móvil |
| es.pibank.customers | Pibank |
| es.univia.unicajamovil | UnicajaMovil |
| www.ingdirect.nativeframe | ING España. Banca Móvil |
| com.latuabancaperandroid | Intesa Sanpaolo Mobile |
| com.lynxspa.bancopopolare | YouApp |
| com.sella.BancaSella | Banca Sella |
| it.bcc.iccrea.mycartabcc | myCartaBCC |
| it.bnl.apps.banking | BNL |
| it.carige | Carige Mobile |
| it.copergmps.rt.pf.android.sp.bmps | Banca MPS |
| it.creval.bancaperta | Bancaperta |
| it.nogood.container | UBI Banca |
| it.popso.SCRIGNOapp | SCRIGNOapp |
| posteitaliane.posteapp.appbpol | BancoPosta |
| posteitaliane.posteapp.apppostepay | Postepay |
| com.android.vending | Google Play |
| com.connectivityapps.hotmail | Connect for Hotmail & Outlook: Mail and Calendar |
| com.google.android.gm | Gmail |
| com.mail.mobile.android.mail | mail.com mail |
| com.microsoft.office.outlook | Microsoft Outlook: Organize Your Email & Calendar |
| com.paypal.android.p2pmobile | PayPal Mobile Cash: Send and Request Money Fast |
| com.yahoo.mobile.client.android.mail | Yahoo Mail – Organized Email |
منبع: threatfabric.com
#تحلیل #اندروید #بدافزار #گوگل_پلی #اپلیکیشن