- اكتشف خبراء الأمن في Group-IB نشاط غوستوف وهو نظام أندرويد طروادة للهواتف المحمولة ، والذي يتضمن أهدافًا محتملة للعملاء في البنوك الدولية الرائدة ، ومستخدمي خدمات العملة المشفرة ، ومواقع التجارة الإلكترونية الشهيرة والأسواق
غوستوف لم يسبق الإبلاغ عنه. جوستوف هو جيل جديد من البرمجيات الخبيثة الكامل مع ميزات مؤتمتة بالكامل مصممة لسرقة كل من العملات الورقية والتشفيرية من حسابات المستخدمين بشكل جماعي. يستخدم طروادة خدمة الوصول ، التي تهدف إلى مساعدة الأشخاص ذوي الإعاقة. كشف تحليل عينة غوستوف أن طروادة مزود بمزيفة على شبكة الإنترنت مصممة لاستهداف مستخدمي تطبيقات أندرويد لأكبر البنوك العالمية بما في ذلك بنك أوف أمريكا وبنك اسكتلندا وجي بي مورغان وويلز فارغو وكابيتال ون وتي دي بنك وبنك بي إن سي ، وخدمات تشفير مثل Bitcoin Wallet و BitPay و Cryptopay و Coinbase وما إلى ذلك. اكتشف المتخصصون في Group-IB أن Gustuff يمكن أن يستهدف مستخدمي أكثر من 100 تطبيق مصرفي ، بما في ذلك 27 في الولايات المتحدة و 16 في بولندا و 10 في أستراليا و 9 في ألمانيا و و 8 في الهند ومستخدمي 32 تطبيق cryptocurrency. في البداية ، صممت شركة Gustuff في البداية باعتبارها طروادة مصرفية كلاسيكية ، وقد وسعت Gustuff بشكل ملحوظ قائمة الأهداف المحتملة ، والتي تشمل الآن ، إلى جانب الخدمات المصرفية وخدمات التشفير وبرامج Android لشركات fintech ، ومستخدمي تطبيقات الأسواق ، والمتاجر عبر الإنترنت ، وأنظمة الدفع والمراسلون ، مثل PayPal ، و Western Union ، و eBay ، و Walmart ، و Skype ، و WhatsApp ، و Gett Taxi ، و Revolut ، إلخ. سلاح العدوى الجماعية يصيب Gustuff الهواتف الذكية التي تعمل بنظام Android من خلال الرسائل القصيرة مع روابط لملف Android Package (APK) الضار ، وهو تنسيق ملف الحزمة المستخدم من قبل نظام التشغيل Android لتوزيع التطبيقات وتثبيتها. عندما يكون جهاز Android مصابًا بمرض غوستوف ، تنتشر طروادة في أمر الخادم بشكل أكبر من خلال قائمة جهات اتصال الجهاز المصاب أو قاعدة بيانات الخادم. تهدف ميزات Gustuff إلى الإصابات الجماعية وتحقيق أقصى ربح لمشغليها - فهي تتميز بميزة فريدة - ATS (أنظمة النقل التلقائي) ، التي تعمل على تعبئة الحقول تلقائيًا في التطبيقات المصرفية عبر الهاتف المحمول الشرعية ومحافظ العملة المشفرة وغيرها من التطبيقات ، والتي تسرع وتزيد من السرقات.
وكشف تحليل طروادة أن وظيفة ATS يتم تنفيذها بمساعدة من خدمة الوصول ، والتي تهدف للأشخاص ذوي الإعاقة. ليس Gustuff هو أول حصان طروادة يتخطى بنجاح تدابير الأمان ضد التفاعلات مع نوافذ التطبيقات الأخرى باستخدام Android Accessibility Service. ومع ذلك ، فإن استخدام خدمة إمكانية الوصول لأداء المنشطات الأمفيتامينية كان حتى الآن حدثًا نادرًا نسبيًا. بعد تحميله على هاتف الضحية ، يستخدم Gustuff خدمة إمكانية الوصول للتفاعل مع عناصر نوافذ التطبيقات الأخرى بما في ذلك محافظ العملات المشفرة وتطبيقات الخدمات المصرفية عبر الإنترنت والمراسلين وما إلى ذلك. يمكن لـ Trojan تنفيذ عدد من الإجراءات ، على سبيل المثال ، بأمر الخادم ، Gustuff قادر على تغيير قيم الحقول النصية في التطبيقات المصرفية. استخدام آلية إمكانية الوصول يعني أن حصان طروادة قادر على تخطي التدابير الأمنية التي تستخدمها البنوك للحماية من الجيل القديم من أحصنة طروادة المتنقلة والتغييرات التي تطرأ على سياسة أمان Google المقدمة في الإصدارات الجديدة من نظام التشغيل أندرويد. علاوة على ذلك ، يعرف Gustuff كيفية إيقاف تشغيل Google Protect ؛ وفقًا لمطور طروادة ، تعمل هذه الميزة في 70٪ من الحالات. كما أن Gustuff قادر على عرض إشعارات الدفع المزيفة برموز شرعية للتطبيقات المذكورة أعلاه. يؤدي النقر فوق إعلامات دفع مزيفة إلى نتيجتين محتملتين: إما أن تظهر نافذة مزيفة على الويب تم تنزيلها من الخادم ويدخل المستخدم في التفاصيل الشخصية أو تفاصيل الدفع (البطاقة / المحفظة) المطلوبة ؛ أو التطبيق الشرعي الذي يُزعم أنه يتم فتح إشعار الدفع - ويمكن لـ Gustuff بناءً على أمر الخادم وبمساعدة خدمة إمكانية الوصول ، ملء حقول الدفع للمعاملات غير المشروعة تلقائيًا. البرنامج الضار قادر أيضًا على إرسال معلومات حول الجهاز المصاب إلى خادم C&C ، وقراءة / إرسال رسائل SMS ، وإرسال طلبات USSD ، وإطلاق SOCKS5 Proxy ، واتباع الروابط ، ونقل الملفات (بما في ذلك عمليات مسح المستندات ولقطات الشاشة والصور) إلى خادم C&C ، وإعادة ضبط الجهاز على إعدادات المصنع. يقول بافل كريلوف ، رئيس البنك الآمن في Group-IB: "من أجل حماية عملائها بشكل أفضل ضد أحصنة طروادة المتنقلة ، تحتاج الشركات إلى استخدام حلول معقدة تسمح باكتشاف ومنع النشاط الضار دون تثبيت برامج إضافي للمستخدم النهائي". "يجب استكمال طرق الكشف المعتمدة على التوقيع بتحليل سلوك المستخدم والتطبيق. يجب أن يشتمل الدفاع الفعال على الإنترنت أيضًا على نظام لتحديد أجهزة العملاء (بصمة الجهاز) حتى يتمكن من اكتشاف استخدام بيانات اعتماد الحساب المسروقة من جهاز غير معروف. عنصر آخر مهم هو تحليلات القنوات المتقاطعة التي تساعد على اكتشاف النشاط الضار في القنوات الأخرى. "
تستخدم أساسا خارج روسيا
على الرغم من أن طروادة تم تطويرها من قبل مجرمي الإنترنت الناطقين باللغة الروسية ، إلا أن غوستوف يعمل حصريًا في الأسواق الدولية. يقول Rustam Mirkasymov ، رئيس قسم التحليل الديناميكي للبرامج الضارة في Group-IB: "تم تصميم جميع أحصنة طروادة Android الجديدة المقدمة في المنتديات السرية ، بما في ذلك Gustuff ، لاستخدامها بشكل رئيسي خارج روسيا ، وتستهدف عملاء الشركات الدولية". "في روسيا ، بعد اعتقال أصحاب أكبر شبكات الروبوت ، انخفض عدد السرقات اليومية ثلاثة أضعاف ، وأصبح نشاط أحصنة طروادة أقل انتشارًا إلى حد كبير ، وركز مطوروهم على أسواق أخرى. وعلى أي حال ، يقوم بعض المتسللين" بتصحيح "طروادة عينات وإعادة استخدامها في هجماتهم على المستخدمين في روسيا. " اكتشف نظام Group-IB's Threat Intelligence لأول مرة Gustuff على منتديات الهاكر في أبريل 2018. وفقًا لمطوره ، المسمى Bestoffer ، أصبح Gustuff هو الإصدار المحدث الجديد من البرامج الضارة لـ AndyBot ، التي تهاجم هواتف Android وتسرق الأموال باستخدام الويب منذ نوفمبر 2017 مزيفة متنكرا في زي تطبيقات المحمول من البنوك الدولية وأنظمة الدفع. غوستوف "منتج جاد للأفراد ذوي المهارات والخبرة" ، كما أعلن عنها مطور طروادة. كان سعر استئجار "غوستف بوت" 800 دولار شهريًا. تم إخطار عملاء Group-IB Threat Intelligence حول Gustuff عند اكتشافها. يواصل فريق من محللي Group-IB البحث في حصان طروادة. حول المجموعة- IB Group-IB هي المزود الرائد للحلول التي تهدف إلى اكتشاف ومنع الهجمات الإلكترونية والاحتيال عبر الإنترنت وحماية IP.
ليست هناك تعليقات:
إرسال تعليق