يستهدف حصان طروادة مصرفي آخر يعمل بنظام Android لديه القدرة على إجراء تحويلات مالية فورية غير مصرح بها البنوك البرازيلية كجزء من اتجاه متزايد بين الجهات الفاعلة في التهديد لاستغلال نظام دفع آلي جديد في أمريكا اللاتينية.
الماعز الجديد - مثل BraxDex و Senomorphy و PixPirate قبله - يسرق مفتاح Pix للأجهزة المحمولة التي يستهدفها لإجراء مدفوعات فورية من الحسابات المخترقة ، وفقًا للباحثين كشف Cyble في منشور مدونة. يستخدم المهاجمون وراء GoatRAT هذا المفتاح للوصول إلى منصة الدفع Pix ، التي أنشأها ويديرها البنك المركزي البرازيلي للمستخدمين لإجراء مدفوعات فورية عبر الهاتف المحمول عبر أمريكا اللاتينية باستخدام مجموعة متنوعة من البنوك.
حتى الآن ، لاحظ باحثو Cyble أن RAT - الذي قالوا أنه تم إنشاؤه أولاً كأداة لإدارة Android عن بعد للسيطرة على أجهزة الضحايا - يستهدف ثلاثة بنوك برازيلية: NUBank و Banco Inter و PagBank.
يبدو أن إجراء عمليات النقل الآلية هو الهدف الوحيد من برنامج حصان طروادة ، والذي على عكس البرامج الضارة المماثلة لا يتضمن القدرة على سرقة رموز المصادقة أو رسائل SMS الواردة ، وفقًا للنتائج.
يعد البرنامج الضار جزءًا من اتجاه متزايد من قبل الجهات الفاعلة في مجال التهديد على مدار الأشهر الستة الماضية لإنشاء برامج ضارة مصرفية أكثر تعقيدًا تتضمن إطار عمل لنظام التحويل التلقائي (ATS) ، "مما يسمح للمهاجمين بإجراء تحويلات مالية غير مصرح بها على الأجهزة المصابة" ، كما كتب باحثو Cyble .
"هذا البديل الجديد يسلط الضوء على أنه في المشهد التكنولوجي الحالي ، هناك ارتفاع مخاطر الهجمات الإلكترونية التي لا تتطلب أذونات متعددة أو العديد من وظائف طروادة المصرفية لتنفيذ الاحتيال المالي ، "قال التقرير.
في الواقع ، الخدمات المصرفية عبر الهاتف المحمول انتشار أحصنة طروادة بشكل عام آخذ في الارتفاع، مع ظهور ما يقرب من 200,000 نوع جديد من هذه البرامج الضارة في عام 2022 ، وفقًا لتقرير "تهديدات الأجهزة المحمولة في عام 2022" من Kaspersky. يمثل هذا الرقم زيادة بنسبة 100٪ عن العام السابق وأكبر تسارع في تطوير البرامج الضارة للأجهزة المحمولة في السنوات الست الماضية.
كيف تقوم GoatRAT بإجراء تحويلات فورية
يستخدم GoatRAT عادةً عملية من أربع خطوات لإجراء عمليات النقل الآلية بمجرد إصابة جهاز المستخدم. أوجز الباحثون النظام المستخدم على وجه التحديد لتطبيق الخدمات المصرفية عبر الهاتف المحمول Banco Inter ؛ ومع ذلك ، فقد قام تروجان أيضًا بدمج وظائف مماثلة لإجراء عمليات تحويل تلقائية للتطبيقات المصرفية الأخرى ، مثل NUBank و PagBank ، التي يستهدفها ، على حد قولهم.
يسيء GoatRAT أولاً استخدام خدمة إمكانية الوصول على جهاز Android للتحقق من أن اسم الحزمة النشطة يطابق إحدى قائمة أسماء حزم التطبيقات المستهدفة ، ثم ينشر إصابة أخرى.
بمجرد تحديد التطبيق المستهدف ، يقوم البرنامج الضار بإنشاء نافذة تراكب مصرفي مزيف تظهر فوق التطبيق الشرعي لإخفاء نشاطه الضار عن الضحية. قال الباحثون إن هذه العملية وعملية سرية أخرى تسمح لطروادة بإدخال مبلغ من المال لتحويله بالإضافة إلى مفتاح Pix الخاص بالجهاز في التطبيق المصرفي الشرعي دون تنبيه الضحية.
يقدم البرنامج الضار أيضًا آلية نقر تلقائية لأزرار "تأكيد" و "دفع" في التطبيق المصرفي الشرعي لإكمال التحويل الفوري للأموال. بمجرد اكتمال هذا النقل ، فإنه يزيل نافذة التراكب من الجزء العلوي من التطبيق المصرفي الشرعي وتنتهي العملية الضارة.
الدفاع ضد أحصنة طروادة ATS
قدم الباحثون العديد من التوصيات الأمنية التي تتوافق مع أفضل الممارسات النموذجية لتنزيل واستخدام تطبيقات الأجهزة المحمولة للحفاظ على الأجهزة خالية من العدوى من أحصنة طروادة والبرامج الضارة الأخرى التي لا يمكنها سرقة الأموال فحسب ، بل تنتشر أيضًا إلى شبكات المؤسسة من خلال الأجهزة المتصلة.
يجب على مستخدمي الأجهزة المحمولة فقط تنزيل البرامج وتثبيتها من متاجر التطبيقات الرسمية مثل Google Play Store أو iOS App Store ، واستخدام حزمة برامج مكافحة فيروسات وأمن الإنترنت مشهورة على جميع الأجهزة المتصلة ، بما في ذلك ليس فقط الأجهزة المحمولة ولكن أيضًا على أجهزة الكمبيوتر الشخصية وأجهزة الكمبيوتر المحمولة ، نصح الباحثون.
كما أوصوا المستخدمين بعدم مشاركة تفاصيل بطاقات الدفع مع مصادر غير موثوق بها واستخدام كلمات مرور قوية وفرض المصادقة متعددة العوامل (MFA) على الأجهزة المحمولة حيثما أمكن ذلك. علاوة على ذلك ، فإن تنفيذ ميزات الأمان البيومترية مثل بصمة الإصبع أو التعرف على الوجه لإلغاء قفل أجهزتهم المحمولة حيثما أمكن ، هو المفتاح ، كما قال الباحثون.
قواعد الأمان المنطقية الأخرى التي نصحها الباحثون ولكن غالبًا ما يتجاهلها المستخدمون هي الحفاظ على تحديث الأجهزة وأنظمة التشغيل والتطبيقات ، وتجنب فتح الروابط المستلمة عبر الرسائل القصيرة أو رسائل البريد الإلكتروني التي يتم تسليمها إلى الأجهزة المحمولة. أضاف باحثو Cyble أنه يجب على المستخدمين توخي الحذر عند تمكين أي أذونات على الأجهزة ، والتأكد من تمكين Google Play Protect على أجهزة Android.
- محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
- بلاتوبلوكشين. Web3 Metaverse Intelligence. تضخيم المعرفة. الوصول هنا.
- المصدر https://www.darkreading.com/attacks-breaches/goatrat-android-trojan-targets-mobile-banking-automated-payment-system
