باج افزار سارق اطلاعات بانکی
شرکت Palo Alto Networks بدافزاری تحت سیستم عامل Android کشف کرده که علاوه بر سرقت اطلاعات بانکی کاربر، فایل های او را نیز برای باج گیری به گروگان می گیرد.
به گزارش شرکت مهندسی شبکه گستر به نقل از شرکت Palo Alto Networks، این بدافزار با نام Xbot با بهره گیری از روش های فیشینگ و شبیه سازی رابط کاربری 7 برنامک بانکی، اطلاعات حساب کاربری و مشخصات کارت بانکی کاربر را سرقت می کند.
Xbot عملکرد باج افزار (Ransomware) را نیز دارد. این بدافزار می تواند با دریافت فرمان از سرور فرماندهی رابط کاربری دستگاه را قفل و فایل های موجود بر روی حافظه های خارجی دستگاه را همچون SD Card رمزگذاری کند. Xbot برای رمزگشایی فایل ها به حالت قبل از کاربر درخواست پرداخت 100 دلار از طریق یک سایت PayPal تسخیر شده می کند.
هر چند این بدافزار در زمان اخاذی در پیامی به کاربر اعلام می کند دستگاه او به باج افزار پیشرفته Cryptolocker آلوده شده اما در عمل از روش رمزنگاری ضعیفی استفاده می کند که براحتی قابل شکستن است.
همچنین Xbot تمامی پیامک ها و اطلاعات تماس کاربر را به سرور فرماندهی خود ارسال کرده و بطور پیوسته پیامک های بانکی mTAN را شنود می کند.
به گزارش شرکت مهندسی شبکه گستر به نقل از شرکت Palo Alto Networks، گردانندگان این بدافزار در حال حاضر تنها بر روی کشورهای استرالیا و روسیه تمرکز کرده اند. از 7 برنامک بانکی هدف قرار گرفته شده توسط Xbot، شش تای آنها مربوط به بانک های استرالیایی هستند.
با توجه به ارتقاهای مداوم این بدافزار، به نظر می رسد که نویسندگان Xbot همچنان در حال توسعه و بهبود آن هستند.
محققان Palo Alto Networks معتقدند Xbot نسخه جدیدی از بدافزار Aulrin است که در سال 2014 شناسایی شد. ساختار کد این دو بدافزار بسیار مشابه یکدیگر است؛ با این تفاوت که Xbot از طریق Mozilla Rhino از کدهای JavaScript بهره می گیرد اما Aulrin از Net Framework. استفاده می کرده.
نویسندگان Xbot بدافزار Aulrin را با زبان برنامه نویسی و Framework متفاوت نوشته اند و به تدریج آن را پیشر فته تر کرده اند. حتی در نسخه آخر آن از ابزار DexGuard نیز استفاده کرده اند. DexGuard ابزار مجازی است که بررسی برنامک از طریق مهندسی معکوس را دشوار می کند.
با توجه به معماری منعطف Xbot انتظار می رود گردانندگان آن در آینده ای نزدیک اهداف خود را گسترش دهند.
