شناسایی بدافزاری که حساب بانکی کاربران اندرویدی را به سرقت می‌برد

شرکت امنیت موبایل پرادئو (Pradeo) اپلیکیشنی را در فروشگاه گوگل پلی کشف کرده است که قرار بود برای کمک به امنیت کاربران اندرویدی در فضای آنلاین مورد استفاده قرار گیرد؛ اما در‌ عوض مشخص شد که اپلیکیشن مذکور تروجان‌دراپری (trojandropper) است که توسط هکرها برای انتشار بدافزار در دستگاه‌های تلفن همراه مصرف‌کنندگان استفاده می‌شود. این اپلیکیشن که ۲FA Authenticator نام دارد توسط بیش از ۱۰ هزار کاربر نصب شده است.

بدافزارهایی که اطلاعات بانکی کاربر را می‌دزدند

به گزارش فون‌آرنا، ۲FA که به‌عنوان اپلیکیشنی برای احراز هویت دو مرحله‌ای شناخته می‌شود، برای تأیید هویت کاربر مورد استفاده قرار می‌گیرد. فرض کنید بانک شما می‌خواهد مطمئن شود شخصی که قصد دارد به اطلاعات حساب دسترسی پیدا کند، خود شما هستید. بنابراین آن‌ها پیامکی با شماره‌ی رمز به تلفنتان ارسال می‌کنند. هنگامی که شماره‌ی کد صحیح را از متن دریافتی وارد کنید، هویت شما تأیید می‌شود. بااین‌حال، ۲FA Authenticator وظیفه‌ی نصب بدافزار خطرناکی به نام Vultur روی دستگاه شما را داشت.

Vultur برای هدف قرار دادن اپلیکیشن‌های خدمات مالی طراحی شده تا بتواند اطلاعات بانکی کاربران را بدزدد و پول آن‌ها را به حساب دیگری منتقل کند. پرادئو پیشنهاد می‌کند اگر این اپلیکیشن را روی گوشی یا تبلت خود دارید، فوراً آن را حذف کنید. اطلاعات کشف‌شده توسط پرادئو به تیم گوگل پلی اطلاع داده شد و ۱۵ روز بعد یعنی در ۲۷ ژانویه اپ مذکور از فروشگاه گوگل پلی حذف شد.

درست است که ۲FA Authenticator برای گرفتن عکس و ویدئو با استفاده از دوربین، غیرفعال کردن قفل صفحه، دسترسی کامل به شبکه، اجرا به محض راه‌اندازی و جلوگیری از خوابیدن دستگاه،‌ از کاربر درخواست اجازه می‌کند اما این بدترین جای ماجرا نیست. این اپلیکیشن بدون اطلاع صاحب دستگاه، به‌طور مخفیانه مجوزهای دیگری از ‌جمله توانایی غیرفعال کردن صفحه‌کلید، دسترسی به اینترنت و خدمات پیش‌زمینه، استفاده از داده‌های بیومتریک و اثر انگشت قربانی را برای خود صادر می‌کند.

دو مورد آخر، که توانایی استفاده از داده‌های بیومتریک و اثر انگشت قربانی بود، نشان می‌دهد که چگونه ۲FA می‌تواند به اپ‌ها و حساب‌های مالی کاربر نفوذ کند و اطلاعاتی را که به آن اجازه‌ی دسترسی به بانک کاربر و سایر مؤسسات مالی را می‌دهد، بدزدد.

سایر مجوزهای خطرناک به بدافزار اجازه می‌دهند حتی در زمان غیرفعال بودن، فعالیت‌هایی را انجام دهد. یکی از مجوزهایی که بدافزار مذکور صادر می‌کند به اپ‌های شخص ثالث اجازه می‌دهد تحت عنوان به‌روزرسانی نصب شوند. در‌ ضمن، این بدافزار می‌تواند هرگونه قفل و رمز عبور را غیرفعال کند.

توجه داشته باشید حتی با وجود حذف شدن از گوگل پلی، این اپلیکیشن باز‌ هم می‌تواند روی دستگاه شما نصب باشد. بدافزار Vultur که توسط ۲FA روی دستگاه کاربران نصب می‌شود می‌تواند صدمه‌های زیادی را وارد کند. برای خلاص شدن از شر آن به Settings > Apps رفته و به‌دنبال ۲FA Authenticator یا اپ مشکوک دیگری بگردید. روی سه نقطه در گوشه‌ی سمت راست بالای صفحه ضربه بزنید و Show system را انتخاب کنید، زیرا گاهی‌اوقات اپ‌های مشکوک در آن بخش قرار می‌گیرند. اگر ۲FA Authenticator در آن فهرست وجود دارد، آن را حذف کنید.