الأمن السيبراني Android, البنوك, الذي, العملات, المشفرة, بقيمة, بنظام, حصان, دولار, طروادة, وبورصات, يستهدف, يعمل eshrag ديسمبر 5, 2024 0 تعليقات

حصان طروادة الذي يعمل بنظام Android بقيمة 3000 دولار يستهدف البنوك وبورصات العملات المشفرة

05 ديسمبر 2024رافي لاكشمانانالعملة المشفرة / أمن الهاتف المحمول

أصبح ما يصل إلى 77 مؤسسة مصرفية وبورصة عملات مشفرة ومنظمات وطنية هدفًا لحصان طروادة المكتشف حديثًا لنظام Android (RAT) والذي يسمى الوصول عن بعد. درويدبوت.

“DroidBot عبارة عن RAT حديث يجمع بين تقنيات VNC المخفية وتقنيات الهجوم المتراكبة مع إمكانيات تشبه برامج التجسس، مثل تسجيل المفاتيح ومراقبة واجهة المستخدم،” هذا ما قاله باحثو Cleafy سيمون ماتيا وأليساندرو سترينو وفيديريكو فالنتيني. قال.

“علاوة على ذلك، فهو يعزز الاتصال ثنائي القناة، وينقل البيانات الصادرة من خلاله إم كيو تي تي وتلقي الأوامر الواردة عبر HTTPS، مما يوفر مرونة ومرونة معززة في التشغيل.”

قالت شركة منع الاحتيال الإيطالية إنها اكتشفت البرامج الضارة في أواخر أكتوبر 2024، على الرغم من وجود أدلة تشير إلى أنها كانت نشطة منذ يونيو على الأقل، وتعمل بموجب نموذج البرامج الضارة كخدمة (MaaS) مقابل رسوم شهرية قدرها 3000 دولار.

تم تحديد ما لا يقل عن 17 مجموعة تابعة على أنها تدفع مقابل الوصول إلى العرض. يتضمن ذلك أيضًا الوصول إلى لوحة الويب حيث يمكنهم تعديل التكوين لإنشاء ملفات APK مخصصة تتضمن البرامج الضارة، بالإضافة إلى التفاعل مع الأجهزة المصابة عن طريق إصدار أوامر مختلفة.

تمت ملاحظة الحملات التي تستفيد من DroidBot بشكل أساسي في النمسا وبلجيكا وفرنسا وإيطاليا والبرتغال وإسبانيا وتركيا والمملكة المتحدة. يتم إخفاء التطبيقات الضارة على هيئة تطبيقات أمان عامة، أو Google Chrome، أو تطبيقات مصرفية شائعة.

في حين أن البرمجيات الخبيثة تعتمد بشكل كبير على إساءة استخدام خدمات إمكانية الوصول في Android لجمع البيانات الحساسة والتحكم عن بعد في جهاز Android، إلا أنها تتميز بالاستفادة من بروتوكولين مختلفين للقيادة والتحكم (C2).

على وجه التحديد، يستخدم DroidBot HTTPS للأوامر الواردة، في حين يتم نقل البيانات الصادرة من الأجهزة المصابة باستخدام بروتوكول مراسلة يسمى MQTT.

وقال الباحثون: “هذا الفصل يعزز مرونته التشغيلية ومرونته”. “يتم تنظيم وسيط MQTT الذي يستخدمه DroidBot في موضوعات محددة تصنف أنواع الاتصالات المتبادلة بين الأجهزة المصابة والبنية التحتية لـ C2.”

ولا تُعرف الأصول الدقيقة لمنفذي التهديد الذين يقفون وراء العملية، على الرغم من أن تحليل عينات البرامج الضارة كشف أنهم يتحدثون اللغة التركية.

وأشار الباحثون إلى أن “البرامج الضارة المعروضة هنا قد لا تتألق من الناحية الفنية، لأنها تشبه إلى حد كبير عائلات البرامج الضارة المعروفة”. “ومع ذلك، فإن ما يبرز حقًا هو نموذجه التشغيلي، الذي يشبه إلى حد كبير مخطط البرامج الضارة كخدمة (MaaS) – وهو أمر غير شائع في هذا النوع من التهديدات.”

وجدت هذه المادة مثيرة للاهتمام؟ تابعونا على تغريد و ينكدين لقراءة المزيد من المحتوى الحصري الذي ننشره.

Source link