🚀 لقد رفعت CloudSek جولة B1 من السلسلة B1 بقيمة 19 مليون دولار - تعزيز مستقبل الأمن السيبراني التنبؤي
اقرأ المزيد
BFSIالمنطقة: الهندمصدر*: A2
ملخص تنفيذي
كلاود سيكاكتشف فريق أبحاث تهديدات العملاء عينة من البرامج الضارة في البرية (ITW) التي استهدفت عملاء البنوك الهندية.
تحليل ملفات APK باستخدام كلاود سيكمحرك بحث الأمان لتطبيقات الهاتف المحمول كن فيجيل اكتشفنا شفرة المصدر والوظائف الداخلية للبرامج الضارة والأذونات المستخدمة ونقاط نهاية عناوين URL التي كانت البرامج الضارة تتصل بها.توصيل:
كانت البرامج الضارة تم التوصيل عند تقديم نموذج يطلب معلومات مثل الاسم ورقم الهاتف المحمول وعنوان البريد الإلكتروني.ما الذي تم تسريبه؟
عند تحليل ملف APK، اكتشفنا أن البرامج الضارة قادرة على سرقة معلومات بطاقة الائتمان/الخصم وكلمات مرور الخدمات المصرفية عبر الإنترنت والرسائل القصيرة لقراءة/إرسال كلمات المرور التي تم إنشاؤها مرة واحدة نيابة عن الضحية.
ملاحظة: نعتقد أنه نشاط مستمر منذ اكتشاف عينات متعددة تستهدف البنوك البارزة من الهند في الأشهر الثلاثة الماضية.
معلومات من التحليل الفني
يخدع التطبيق الضار الضحايا للتخلي عن تفاصيل بطاقتهم وكلمات مرور الخدمات المصرفية عبر الإنترنت من خلال إغرائهم باستخدام المكافآت المالية.
يستخدم التطبيق الضار الشعار الرسمي للبنوك الهندية لخداع الضحايا للاعتقاد بأن التطبيق شرعي، والذي يمكن استخدامه لاسترداد نقاط المكافآت.
أذونات الجهاز
يتطلب التطبيق عددًا من الأذونات أثناء تثبيته على جهاز Android. يتم تصنيف العديد من هذه الأذونات في فئة الأذونات الخطيرة.
تتضمن هذه الأذونات الخطيرة إذنًا لقراءة سجلات مكالمات الجهاز وقراءة جهات الاتصال وقراءة الرسائل القصيرة وتلقي الرسائل القصيرة والحصول على الحسابات والمصادقة عليها.
تسمح هذه الأذونات للبرامج الضارة بسرقة المعلومات الحساسة من جهاز الضحية، وقراءة الرسائل القصيرة وتلقيها، والحصول على معلومات حول الحسابات المستخدمة على الجهاز، واستخدام هذه الحسابات للمصادقة وحتى إنشاء حسابات جديدة.
آلية الثبات
يستخدم التطبيق فلاتر النوايا ذات الأولوية العالية لمعرفة إعادة تشغيل الجهاز للحفاظ على الثبات.
تسمح الأولوية العالية 999 للبرامج الضارة بمعرفة تغيير التمهيد بمجرد حدوث أي تغيير. يسمح هذا للبرامج الضارة بإعادة تشغيل جهاز استقبال البث الخاص بها لتلقي أي أنواع من عمليات البث المرسلة عبر النظام بواسطة نظام تشغيل الجهاز أو التطبيقات الأخرى.
استخراج البيانات
الكود المصدري لـ APK موجود في https://bevigil.com/src/in.kotak.rewards/source%2Fsources%2Fin%2Fkotak%2Frewards%2FAutoStartService.java
تقوم البرامج الضارة بتسلل جميع سجلات الرسائل القصيرة والمكالمات من جهاز الضحايا إلى خادم C2 الخاص به.
من المهم ملاحظة أن جميع البيانات التي تم تسريبها يتم تشفيرها قبل إرسالها إلى خادم C2.
مفتاح التشفير المستخدم للتشفير
القيادة والتحكم
استنادًا إلى تحليل الكود الثابت للبرامج الضارة، يمكننا القول أن البرامج الضارة لا تسرق البيانات فحسب، بل يمكن استخدامها أيضًا لتنفيذ الأوامر المرسلة من قبل Threat Actor.
يمكن للمهاجم إرسال هذه الأوامر إلى الجهاز الضحية لجعل البرامج الضارة تنفذ إجراءات معينة مثل تحميل الرسائل القصيرة وسجلات المكالمات إلى C2 وحتى وضع الجهاز في الوضع الصامت.
نظرًا لأن البرنامج الضار يأخذ إذن مدير الصوت أثناء التثبيت، يتم وضع الضحية في الوضع الصامت قبل أن يحاول ممثل التهديد استخدام بطاقة ائتمان الضحية لإجراء أي عملية شراء أو معاملة لجعل الضحية لا تلاحظ OTP للرسائل القصيرة المتعلقة بالمعاملة.
بمجرد تحميل الرسائل القصيرة إلى C2، يمكن للبرامج الضارة أيضًا حذف الرسائل القصيرة، بحيث لا يتمكن الضحايا من العثور على الرسائل القصيرة عندما يفحصون هواتفهم.
