تروجان بانکی Android/Spy.Agent.SI در اپ های بانکی

شرکت ESET بازهم یک تروجان بانکی اندرویدی را کشف کرده است. این تروجان Android/Spy.Agent.SI نام‌گذاری شده است و هدف آن مشتریان بانک‌های بزرگ در استرالیا، زیلاند نو و ترکیه می‌باشد. این بدافزار مخرب قادر به سرقت کردن اطلاعات login 20 اپ بانکی مختلف است. با داشتن توانایی دریافت ارتباطات SMS این بدافزار قادر است که احراز هویت دو فاکتوری (2FA) بر اساس SMS را دور بزند.

آنالیز Android/Spy.Agent.SI
بدافزار وانمود می‌کند که Flash Player است و دارای Icon به‌ظاهر معتبر آن می‌باشد. آن بر روی چندین سرور در دسترس است و این سرورها در ژانویه یا فوریه 2016 ثبت شدند. مسیرهای URL به فایل‌های مخرب apk هر ساعت تولید می‌شوند و احتمالاً این کار جهت جلوگیری از شناسایی URL ها توسط ضدویروس‌ها انجام می‌شود.

شکل 1- سایت‌های دانلود بدافزار مخرب Android/Spy.Agent.SI

پس از دانلود نمودن و نصب اپ، از کاربر درخواست می‌شود که حق کنترل دستگاه به برنامه داده شود. این مکانیزم دفاعی بدافزار باعث می‌شود که آن را کاربر نتواند از روی سیستم خود حذف نماید. ایکن ّFlash Player پس از به دست گرفتن کنترل‌های سیستم توسط بدافزار از دید کاربر حذف می‌گردد اما تروجان در پیش‌زمینه فعال است.
سپس بدافزار با سرور راه دور خود ارتباط برقرار می‌کند. این ارتباط مابین کلاینت و هاست از طریق رمزنگاری base64 انجام می‌گردد. اول بدافزار اطلاعات وسیله (مدل، نوع، شماره IMEI، زبان، ورژن SDK و اطلاعات فعال بودن system Admin) را به سرور خود ارسال می‌کند. این اطلاعات هر 25 ثانیه یک‌بار ارسال می‌گردد. بدافزار سپس اسامی برنامه‌های نصب‌شده را جمع‌آوری می‌کند (شامل اپ های بانکی موبایلی) و آنها را به سرور راه دور ارسال می‌کند. سپس سرور لیست کامل اپ های هدف خود را به بدافزار ارسال می‌کند.
بدافزار خود را به‌عنوان یک‌لایه بر روی (overlay) برنامه بانکی اجرا می‌کند و این حالت phishing مانند یک lockscreen عمل می‌کند که در آن کاربر باید اطلاعات login را برای برداشتن این لایه وارد کند. اطلاعات login وارده توسط بدافزار تائید نمی‌شود و به سرور راه دور ارسال می‌گردد و سپس overlay بسته می‌شود. این بدافزار اطلاعات اپ مای بانکی و اطلاعات حساب گوگل کاربر را برداشت می‌کند. اولین ورژن ها ساده بودند و اهداف مخرب آنها مشخص بود. نسخه‌های بعدی پیچیده‌تر شده و دارای رمزگذاری بهتری هستند.

جمع‌بندی پروسه
اگر برنامه‌های مورد هدف اجرا شوند، بدافزار فعال می‌شود و یک overlay قلابی به‌عنوان Login screen ظاهر می‌گردد که راهی برای بستن آن وجود ندارد.

شکل 2 – ارتباط‌گیری با سرور

پس‌ازاینکه کاربران داده‌های شخصی خود را در فیلدها وارد می‌کنند، پنجره قلابی بسته می‌شود و برنامه واقعی بانکی نشان داده می‌شود. تمامی اطلاعات ردوبدل شده مابین وسیله و سرور رمزگذاری می‌شود، به‌غیراز داده‌های احراز هویت که به شکل متن ساده ارسال می‌گردد.

شکل 3 – داده‌های احراز هویت به شکل متن ساده

این بدافزار می‌تواند حتی از احراز هویت دو فاکتوری (2FA) عبور کند و در صورت نیاز تمامی متون دریافتی در پیام‌ها را به سرور ارسال کند. این به حمله‌کننده اجازه می‌دهد که تمامی پیام‌های متنی SMS را از بانک‌ها دریافت کند و فوراً آن را از سیستم کلاینت حذف کند تا مورد مشکوکی دیده نشود.

روش پاک کردن بدافزار
در زمان پاک کردن بدافزار توسط کاربر، دو سناریو پیش می‌آید. اول اینکه کاربر باید Administrator rights را بردارد و سپس Flash Player قلابی را از دستگاه پاک کند. برداشتن Administrator rights دو نتیجه به همراه خود دارد. اول اینکه کاربر Administrator rights را غیرفعال می‌کند، هشدار قلابی را کاری ندارد و گزینه OK را انتخاب می‌کند.
(Settings -> Security -> Device administrators -> Flash Player -> Deactivate)

شکل 4- غیرفعال کردن Administrator rights

سپس کاربر می‌تواند بدافزار را از مسیر زیر غیرفعال کند.
)Settings -> Apps/Application manager -> Flash Player -> Uninstall.(
پاک کردن بدافزار درزمانی که وسیله دستور غیرفعال کردن Administrator rights را از سرور دریافت می‌کند پیچیده‌تر می‌شود. در این حالت اگر کاربر سعی کند که Administrator rights را غیرفعال کند، بدافزار اجازه نمی‌دهد که کاربر بر روی گزینه تائید (confirmation button) کلیک کند و غیرفعال کردن Administrator rights امکان‌پذیر نیست.

شکل 5- صفحه بدافزار روی نرم‌افزار بانکی (Overlay)

یک روش دیگر برای غیرفعال کردن امن Administrator rights وارد شدن به Safe mode است. در زمان ورود به Safe Mode برنامه‌های شخص ثالث load و اجرا نمی‌شوند. در این حالت کاربر به‌راحتی می‌تواند Administrator rights را غیرفعال کند و بدافزار را پاک کند. در برنامه امنیتی ESET اسم این بدافزار ” Android/Spy.Agent.SI” می‌باشد.

Fake login screens چندین برنامه بانکی