اكتشف الباحثون استخدام حصان طروادة مصرفي يعمل بنظام Android لجمع المعلومات المالية للمستخدمين في العديد من البلدان. تم استخدام Anatsa trojan ، الذي تم اكتشافه سابقًا من قبل نفس شركة الأبحاث الأمنية قبل عامين ، عبر عدد قليل من التطبيقات على متجر Play Store متنكراً في صورة تطبيقات إنتاجية وتطبيقات مكتبية ، مع أكثر من 30000 عملية تنزيل. ينشر منشئو البرامج الضارة تطبيقات نظيفة في متجر تطبيقات Google لتجنب الاكتشاف أثناء المراجعة الأولية ، ثم تحديثها بشفرة ضارة. سيتعين على المستخدمين الذين قاموا بتنزيل هذه التطبيقات المصابة إزالتها يدويًا من هواتفهم الذكية.
شركة الأمن ThreatFabric لديها نشرت تفاصيل عن حصان طروادة Anatsa Banking الذي أصاب عددًا قليلاً من التطبيقات على متجر Play والتي تم تسويقها على أنها تطبيقات “مكتبية” (للمستندات وجداول البيانات) وتطبيقات عارض PDF وتحرير. بعد أن يقوم المستخدم بتثبيت أحد التطبيقات المصابة ، فإنه يتصل بخادم GitHub لتنزيل البرامج الضارة ، والتي تشكل “وظيفة إضافية” للتطبيقات – مثل أداة التعرف الضوئي على الأحرف (OCR) للمستندات وملفات PDF ، وفقًا للشركة.
قائمة ThreatFabric لبعض التطبيقات المصرفية المتأثرة بحصان طروادة
مصدر الصورة: لقطة شاشة / ThreatFabric
ستستهدف حصان طروادة المصرفية بعد ذلك ما يقرب من 600 تطبيق مصرفي من عدة دول بما في ذلك تطبيقات Capital One و JP Morgan Mobile في الولايات المتحدة ، بالإضافة إلى تطبيقات مصرفية من أستراليا وفرنسا وألمانيا وإيطاليا والمملكة المتحدة وكوريا الجنوبية والسويد وسويسرا . يعرض صفحة تصيد على شاشة المستخدم عندما يحاول فتح تطبيقه المصرفي. يمكن للبرامج الضارة بعد ذلك سرقة معلومات بطاقة الائتمان وبيانات اعتماد تسجيل الدخول وأرقام PIN عن طريق ضغطات مفاتيح التسجيل.
ما يجعل حصان طروادة Anatsa المصرفي شائنًا حقًا هو أنه يمكنه استخدام المعلومات المستقاة من الضحية لتحميل التطبيقات المصرفية المشروعة وتحويل الأموال من حساباتهم. توضح الشركة الأمنية أن هذا يجعل من الصعب على أنظمة مكافحة الاحتيال التي تستخدمها البنوك تحديد المعاملات الآلية وغير المشروعة. يتم تحويل هذه الأموال بعد ذلك إلى مشغلي Anatsa في شكل عملة مشفرة ، وفقًا لـ ThreatFabric.
| برنامج | اسم حزمة Android |
|---|---|
| قارئ PDF – تحرير وعرض ملف PDF | lsstudio.pdfreader.powerfultool.allinonepdf.goodpdftools |
| قارئ ومحرر PDF | com.proderstarler.pdf التوقيع |
| قارئ ومحرر PDF | moh.filemanagerrespdf |
| كل قارئ ومحرر المستندات | com.mikijaki.documents.pdfreader.xlsx.csv.ppt.docs |
| كل قارئ وعارض المستندات | com.muchlensoka.pdf |
سيتعين على المستخدمين الذين قاموا بتثبيت “القطارات” لـ Anatsa trojan – التي تم تحديدها بواسطة ThreatFabric والمدرجة في الجدول أعلاه – إلغاء تثبيت هذه التطبيقات يدويًا من هواتفهم الذكية. تمت إزالة التطبيقات بالفعل من متجر Play ، وفقًا لشركة الأمان ، التي اكتشفت سابقًا حصان طروادة في عام 2021.
يلاحظ ThreatFabric أنه حتى بعد قيام Google بإزالة التطبيقات المصابة بـ Anatsa trojan ، سيقوم المبدعون على الفور بتحميل إصدار جديد من التطبيق ، متخفيًا مرة أخرى ، إلى متجر Play Store. من أجل البقاء في مأمن من هذه أحصنة طروادة الشائنة ، يجب على المستخدمين اختيار التطبيقات المعروفة وتجنب تثبيت تلك التي تحتوي على عدد قليل من التنزيلات ، أثناء التحقق من مراجعات المستخدم لتقارير سرقة المعلومات أو الاحتيال.
