اكتشف خبراء الأمن في Trend Micro نوعًا جديدًا من XLoader Trojan الذي يستهدف أجهزة Android عن طريق طرحه كتطبيق أمان
اكتشف Trend Micro نوعًا جديدًا من XLoader Trojan الذي يستهدف أجهزة Android من خلال طرحه كتطبيق أمان ، كما تحاول البرامج الضارة إصابة أجهزة Apple (iPhone و iPads) من خلال ملف تعريف iOS ضار. لقد تم رصد XLoader منذ عام 2018 ، لكن الخبراء تتبعوه إلى يناير 2015 ، ربط Trend Micro التهديد ببرامج FakeSpy الضارة.
يتميز متغير XLoader Trojan الجديد بتقنية نشر محدثة ويتضمن تغييرات في التعليمات البرمجية تجعلها مختلفة عن المتغيرات السابقة.
تمت ملاحظة الرمز الضار في الهجمات السابقة التي تمثلت في Facebook و Chrome والتطبيقات الشرعية الأخرى.
وجد باحثو تريند مايكرو نوعًا جديدًا يستخدم طريقة مختلفة لجذب المستخدمين. يُظهر متغير XLoader الجديد كتطبيق أمان لأجهزة Android ، ويستخدم ملف تعريف iOS ضار للتأثير على أجهزة iPhone و iPad. "يقرأ التحليل الذي نشرته Trend Micro. "بصرف النظر عن التغيير في أساليب النشر الخاصة به ، فإن بعض التغييرات في الكود الخاص به تميزه عن الإصدارات السابقة."
استضاف المهاجمون الشفرة الخبيثة على مواقع الويب المزيفة التي تحاكي المواقع الشرعية مثل تلك التي تنتمي إلى مشغل الهاتف المحمول الياباني. يحاول المتسللون خداع المستخدمين لتنزيل حزمة تطبيق Android المزيف للأمان (APK) ، وقد أرسلوا إلى الضحايا رسائل SMS تحتوي على روابط إلى مواقع وهمية.
عند وصول مستخدمي Android إلى هذه المواقع أو الضغط على أي من الأزرار ، سيُطلب منك تنزيل APK الضار.
"ومع ذلك ، يتطلب تثبيت APK الضار بنجاح أن يسمح المستخدم بتثبيت تطبيقات مثل التحكم فيها في إعدادات مصادر غير معروفة. إذا سمح المستخدمون بتثبيت هذه التطبيقات ، فيمكن تثبيتها بنشاط على جهاز الضحية. "يواصل التحليل.
تعد سلسلة الهجوم على أجهزة iOS أكثر تعقيدًا ، حيث يتم تقديم صفحة تصيد للمستخدمين للمستخدمين التي تطلب من المستخدمين تثبيت ملف تعريف تكوين ضار يُقترح كحل لمشكلة تمنع تحميل الموقع.
"سيؤدي الوصول إلى نفس الموقع الضار إلى إعادة توجيه المستخدم إلى موقع ويب ضار آخر (hxxp: // apple-icloud [.] qwq – japan [.] com أو hxxp: // apple-icloud [.] zqo – japan [.] com ) التي تطالب المستخدم بتثبيت ملف تعريف تكوين iOS ضار لحل مشكلة في الشبكة تمنع تحميل الموقع. ”يواصل التحليل. "إذا قام المستخدم بتثبيت ملف التعريف ، فسيتم فتح موقع الويب الضار ، ويكشف أنه موقع تصيّد Apple"
XLoader
مثل الإصدارات السابقة من XLoader 6.0 ، يسيء آخر إصدار لملفات تعريف مستخدمي وسائل التواصل الاجتماعي لإخفاء عناوين C&C.
يعمل XLoader 6.0 على الاستفادة من منصة Twitter الاجتماعية ، حيث يتم ترميز عنوان C2 في أسماء Twitter.
تستفيد البرامج الضارة من ملفات تعريف Twitter لترميز عناوين القيادة والتحكم الحقيقية (C&C) الخاصة بها في أسماء Twitter. يقوم بتنفيذ أمر يسمى "getPhoneState" ، والذي يجمع المعرفات الفريدة للأجهزة المحمولة مثل IMSI و ICCID ومعرف Android والرقم التسلسلي للجهاز.
على أجهزة Apple ، يجمع ملف تعريف iOS الضار معرف الجهاز الفريد (UDID) ، وهوية الأجهزة المحمولة الدولية (IMEI) ، ومعرّف بطاقة الدوائر المتكاملة (ICCID) ، ومعرّف جهاز الجوّال (MEID) ، ورقم الإصدار ، ورقم المنتج.
"بعد تثبيت ملف التعريف ، سيتم بعد ذلك إعادة توجيه المستخدم إلى موقع تصيد آبل آخر". يقول الباحثون الأمنيون: "يستخدم موقع التصيد المعلومات المجمّعة كمعلمة GET ، مما يسمح للمهاجم بالوصول إلى المعلومات المسروقة".
أثناء تحليل هذا الهجوم ، اكتشف الخبراء نوعًا آخر من XLoader يمثل تطبيقًا إباحيًا تم تطويره لاستهداف مستخدمي Android الكوريين الجنوبيين. يتصل APK الضار بموقع ويب مزيف يقوم بتشغيل XLoader في الخلفية ويستخدم حساب Twitter ثابتًا مختلفًا.
وجد الخبراء أيضًا متغيرًا يعمل على رفع Instagram و Tumblr لإخفاء البنية التحتية لـ C&C.
تم الإبلاغ عن مزيد من التفاصيل الفنية ، بما في ذلك مؤشرات التسوية ، في التحليل الذي نشرته Trend Micro.
ليست هناك تعليقات:
إرسال تعليق