بدافزار اندرویدی BlackRock با قابلیت سرقت رمز عبور

به گزارش کارگروه امنیت سایبربان ؛ محققان امنیتی می‌گویند بدافزار جدید اندرویدی در انجمن‌های جرم خیز سایبری دیده می‌شود که قابلیت‌های متنوعی برای سرقت داده دارد. این بدافزار ظاهراً ۳۳۷ اپلیکیشن اندرویدی را هدف قرار داده است. بدافزار جدید که به‌نام BlackRock شناسایی شد، ظاهراً از ماه مه سال جاری فعالیت می‌کند. شرکت تحقیقاتی امنیت موبایل ThreatFabric اولین بار نسبت به خطرهای بدافزار جدید هشدار داد.
بدافزار جدید اندرویدی با تکیه‌بر کدهای یک بدافزار قدیمی به‌نام Xerex توسعه‌یافته است که آن‌هم خود مبتنی بر کدهای بدافزاری دیگر بود. نمونه‌ی جدید، قابلیت‌های اضافه و حرفه‌ای‌تری دارد. محققان خصوصاً روی قابلیت‌های پیشرفته‌ی سرقت داده همچون رمز عبور و اطلاعات کارت‌های اعتباری، تأکید می‌کنند. بلک‌راک در دسته‌ی تروجان‌های بانکی اندرویدی قرار می‌گیرد و عملکردی مشابه با آن‌ها دارد. منتهی ظاهراً بدافزار جدید، نسبت به نمونه‌های قبلی، اپلیکیشن‌های بسیار بیشتری را هدف قرار می‌دهد.
تروجان بلک‌راک، نام کاربری و رمز عبور را در صورت وجود، از اپلیکیشن‌های هدف سرقت می‌کند. همچنین قربانی را مجبور می‌کند تا اطلاعات کارت اعتباری خود را در اپلیکیشن‌های مجهز به قابلیت‌های پرداخت، وارد کند. گروه امنیتی ThreatFabric می‌گوید سرقت داده با استفاده از روشی موسوم به overlays انجام می‌شود. در روش مذکور، زمانی که کاربر تصمیم به تعامل با اپلیکیشن اصلی و معتبر دارد، پنجره‌ای اضافه روی پنجره‌ی اصلی برای او نمایش داده می‌شود. قربانی به‌اشتباه، اطلاعات خود را در پنجره‌ی تقلبی وارد کرده و به‌نوعی آن را به مجرمان سایبری ارائه می‌کند. درنهایت برای ورود به اپلیکیشن اصلی معتبر، عبور از این مرحله الزامی به نظر می‌رسد.
گزارش جزئی گروه تحقیقاتی نشان می‌دهد بلک‌راک بیش از همه اپلیکیشن‌های مالی و شبکه‌های اجتماعی و ارتباطی را هدف قرار می‌دهد. البته نمونه‌هایی از حمله‌ی فیشینگ و سرقت اطلاعات از اپلیکیشن‌های دوست‌یابی، اخبار، خرید، سبک زندگی و سرویس‌های کاربردی هم دیده می‌شود.
استفاده از روش صفحه‌ و پنجره‌ی پوششی در بلک‌راک، منحصربه‌فرد نیست. درواقع پشت‌صحنه‌ی بلک‌راک شباهت زیادی به بدافزارهای امروزی دنیای اندروید دارد و از روش‌های قدیمی و آزمایش‌شده بهره می‌برد. به‌محض اینکه که بدافزار روی سیستم قربانی نصب شود، اپلیکیشن مخرب مجهز به آن، از کاربر دسترسی به قابلیت‌های Accessibility (قابلیت‌های مخصوص افراد با ناتوانی‌های فیزیکی) را تقاضا می‌کند. این بخش از سیستم‌عامل، قابلیت‌های متنوعی دارد و می‌توان حتی برای اجرای خودکار برخی از وظایف یا حتی اجرای دستورهای لمسی بدون دخالت کاربر از آن استفاده کرد.
بلک‌راک با سوءاستفاده از دسترسی Accessibility، دسترسی به بخش‌های دیگر اندروید را هم کسب می‌کند. سپس از بخش Android DPC برای به دست آوردن سطح دسترسی ادمین بهره می‌برد. درنهایت، دسترسی مدیر به تروجان امکان می‌دهد تا صفحات تقلبی پوششی را در اپلیکیشن‌های گوناگون به کاربر نمایش دهد. محققان امنیتی می‌گویند بدافزار مذکور، قابلیت‌‌های دیگری همچون موارد زیر را هم دارد:

• رهگیری پیامک‌ها
• ارسال انبوه پیامک
• ارسال پیامک اسپم با یک متن مشابه به همه‌ی مخاطبان
• اجرای برخی اپلیکیشن‌ها
• ضبط گزارش از دکمه‌های فشرده‌شده توسط کاربر
• نمایش پیام‌های اعلان سفارشی
• ایجاد اختلال در عملکرد آنتی‌ویروس موبایل

درحال‌حاضر بلک‌راک با ظاهر پکیج‌های به‌روزرسانی گوگل در وب‌سایت‌های متفرقه توزیع می‌شود. هنوز اثری از تروجان مذکور در پلی استور دیده نمی‌شود. به‌هرحال گروه‌های مجرم سایبری متمرکز بر اندروید، همیشه راهی برای عبور از لایه‌های امنیتی گوگل و مراحل بازرسی اپلیکیشن‌ها پیدا می‌کنند. درنتیجه شاید روزی تروجان بلک‌راک در اپلیکیشن‌های موجود در مارکت رسمی اندروید هم دیده شود.