فا

‫ تهديدات موبايل در سه‌ماهه چهارم 2012 به گزارش F-Secure- قسمت دوم

IRCRE201303131
تاريخ: 27/12/91
 
شركت F-Secure در گزارشي اقدام به بررسي تهديدات موبايل در سه‌ماهه چهارم سال 2012 كرده است. در ادامه، قسمت دوم اين گزارش را مطالعه مي‌كنيد.
بدافزارها
راه نفوذ مخفي: Android/FakeLook.A
FakeLook.A از قرار دادن آيكوني در منوي برنامه‌ها خودداري مي‌كند تا حضور خود را از كاربر پنهان نمايد. البته مي‌توان اين بدافزار را در گزينه Manage Applications در Settings در فهرست Updates مشاهده نمود.
FakeLook.A به يك سرور دستور و كنترل متصل شده و دستورات بعدي را دريافت مي‌كند. اين بدافزار اطلاعاتي مانند شناسه دستگاه و پيام‌هاي كوتاه را جمع‌آوري كرده، فهرست فايل‌ها را از SD Card دريافت كرده و پيش از ارسال فايل‌ها به يك سرور FTP با استفاده از نام كاربري ftpuser و كلمه عبور upload، فايل‌ها را فشرده مي‌كند.
 
تروجان: Android/Citmo.A
Citmo.A نسخه موبايلي Carbep است كه يك تروجان بانكي است كه سيستم‌هاي شخصي را براي سرقت اطلاعات بانكي آلوده مي‌كند. عملكرد Citmo.A مشابه Zitmo (زئوس موبايلي) و Spitmo است. اين بدافزار پيام‌هاي كوتاه دريافتي را مانيتور كرده و شماره mTAN (احراز هويت انتقالات موبايل) را كه بانك به جهت اعتبارسنجي انتقالات آنلاين بانكي براي مشتريان خود ارسال مي‌كند، سرقت مي‌نمايد.
 
تروجان: Android/EcoBatry.A
EcoBatry.A به محض نصب شدن مجوزهايي را درخواست مي‌كند كه به آن اجازه دسترسي يه اينترنت، داده‌هاي تماس و اطلاعات موجود بر روي دستگاه را مي‌دهد. سپس اين بدافزار يك ارتباط خروجي با يك سرور راه دور برقرار مي‌كند كه از طريق آن سرور، دستوراتي مبني بر جمع‌آوري اطلاعات تماس كاربر و ارسال اطلاعات به سرور صادر مي‌گردد.
 
تروجان: Android/FakeFlash.A
FakeFlash.A ظاهر يك برنامه فلش پلير معتبر را دارد. هنگامي كه اين بدافزار اجرا مي‌شود، پيغامي به كاربر نمايش مي‌دهد كه برنامه فلش پلير به طور موفقيت‌آميز نصب شده است و سپس كاربر را به وب‌سايت ديگري منتقل مي‌كند.
 
تروجان: Android/FakeGuard.A
FakeGuard.A بدافزاري است كه قادر به مديريت ورودي‌هاي SMS/WAP Push است. اين بدافزار اطلاعات كاربر را سرقت كرده و ارتباطي با يك سرور راه دور برقرار مي‌كند. پاسخ دريافتي از اين سرور با استفاده از MS949 بازگشايي شده و داده‌هاي خروجي نيز با استفاده از EUC_KR كد مي‌شوند.
 
تروجان: Android/GeoFake.A و Android/GeoFake.B
GeoFake.A تحت عنوان يك برنامه تقويم چيني نصب مي‌شود، ولي مجوزهاي غيرضروري را در طول پروسه نصب درخواست مي‌كند. اين مجوزها شامل مديريت ليست حساب كاربري، دسترسي و استفاده از اطلاعات احراز هويت حساب كاربري، خواندن و ويرايش پيام‌هاي كوتاه يا پيام‌هاي چندرسانه‌اي، خواندن فايل‌هاي لاگ سيستم و دسترسي به اطلاعات موقعيت مي‌گردد.
زماني كه اين بدافزار به‌صورت موفقيت‌آميز نصب مي‌گردد، پيام‌هاي كوتاهي ارسال مي‌كند كه سرويس‌هاي ارزش افزوده را فعال مي‌سازد. اين بدافزار با استفاده از Google Maps API انتخاب مي‌كند كه كدام سرويس ارزش افزوده بايد با توجه به موقعيت جغرافيايي دستگاه انتخاب گردد.
 
تروجان: Android/InfoStealer.A
InfoStealer.A به روشني توسط نام آن توضيح داده شده است. بدافزاري است كه اطلاعات تماس را سرقت كرده و به يك سرور MySQL راه دور ارسال مي‌كند. اطلاعات سرقت شده شامل شناسه دستگاه، آدرس ايميل، طول و عرض جغرافيايي، شماره تلفن، كد پستي، منطقه، خيابان و نام كاربري مي‌گردد.
 
تروجان: Android/MaleBook.A
MaleBook.A اطلاعات دستگاه را جمع‎‌آوري مي‌كند و براي چندين سرور راه دور ارسال مي‌كند اطلاعات جمع‌آوري شده شامل شناسه برنامه، نسخه برنامه، كد كشور، نام دستگاه، نوع دستگاه، طول و عرض دستگاه، شماره IMEI، شماره IMSI، زبان، نسخه سيستم عامل و نسخه SDK مي‌‎باشد.
بعلاوه اين بدافزار تلاش مي‌كند تبليغاتي را بر روي دستگاه‌هاي آلوده دانلود نمايد.
 
تروجان: Android/Placsms.A
Placsms.A تحت عنوان sp_pay در منوي برنامه‌ها ظاهر مي‌شود و در طول پروسه نصب، مجوزهايي براي دسترسي به اينترنت، پيام‌هاي كوتاه، محتوايات كارت SD و سيستم دستگاه درخواست مي‌كند.
اين برنامه اطلاعاتي مانند شماره IMEI و شماره تلفن را جمع‌آوري مي‌كند و سپس آنها را براي يك سرور راه دور ارسال مي‌نمايد.
 
تروجان: Android/SMSAgent.A
SMSAgent.A به‌صورت يك برنامه بازي به نظر مي‌رسد، ولي به طور بي سر و صدا فعاليت‌هاي خرابكارانه‌اي را در پس‌زمينه انجام مي‌دهد. اين بدافزار سعي مي‌كند فايل‌هاي خرابكار ديگري را از يك سرور راه دور دانلود نمايد و با ارسال پيام‌هاي كوتاه و پيام‌هاي چندرسانه‌اي، سرويس‌هاي ارزش افزوده گران قيمتي را فعال مي‌سازد.
 
تروجان: Android/Stesec.A
Stesec.A پس از نصب هيچ آيكوني در منوي برنامه‌ها قرار نمي‌دهد تا حضور خود را از كاربر پنهان نمايد. اين برنامه صرفاً از طريق گزينه Manage Applications در Settings تحت عنوان يك سرويس جديد قابل مشاهده است.
Stesec.A پيام‌هاي كوتاه حاوي اطلاعات دستگاه مانند شماره IMEI، نسخه نرم‌افزار و ساير اطلاعات را به يك سرور راه دور ارسال مي‌كند.
 
تروجان: Android/Stokx.A
Stokx.A به يك سرور راه دور متصل شده و يك فايل XML را دريافت مي‌كند. اين فايل حاوي اطلاعاتي مانند شناسه كلاينت، شماره تلفني كه پيام‌هاي كوتاه را به آن ارسال مي‌كند و URL دانلود APK هاي ديگر مي‌باشد.
اين بدافزار شماره IMEI دستگاه را به يك سرور راه دور ارسال كرده و پيام كوتاهي با محتواي SX357242043237517 به شماره 13810845191 ارسال مي‌نمايد.
 
تروجان: Android/Temai.A
Temai.A اطلاعات زير را جمع‌آوري كرده و براي چند آدرس راه دور ارسال مي‌كند:
شناسه برنامه، نسخه برنامه، كد كشور، شماره IMEI، شماره IMSI و نسخه سيستم عامل.
اين بدافزار علاوه بر جمع‌آوري و ارسال اطلاعات دستگاه، فايل‌هاي APK و اسكريپت‌هاي بالقوه خرابكار را بر روي دستگاه آلوده دانلود مي‌كند. همچنين ممكن است كاربران از طريق مجوزهاي اخذ شده توسط اين بدافزار در طول پروسه نصب، در معرض خطرهاي ديگري نيز قرار گيرند.
 
تروجان: Android/Tesbo.A
Tesbo.A با چندين سرور راه دور ارتباط برقرار كرده و اطلاعاتي مانند شماره IMEI و نام بسته برنامه را ارسال مي‌كند.
بعلاوه، اين بدافزار پيام‌هاي كوتاهي با محتواي [IMSI]@[random from 1-10] براي شماره 10658422 ارسال مي‌كند.
 
تروجان: SymbOS/Ankaq.A
Ankaq.A برنامه‌اي است كه پيام‌هاي كوتاهي را براي سرويس‌هاي ارزش افزوده ارسال مي‌كند و بي سر و صدا اقدام به نصب نرم‌افزار جديدي بر روي دستگاه آلوده مي‌كند. اين بدافزار براي جلوگيري از تشخيص، تمامي پروسه‌هاي مربوط به آنتي‌ويروس را پايان مي‌دهد.
 
شكل زير نشان دهنده تهديدات موبايل بر اساس منافع مالي در سال‌هاي 2006 تا 2012 است:
شكل بعد نيز نشان دهنده تهديدات موبايل بر اساس منافع مالي در سه‌ماه‌هاي اول تا چهارم 2012 مي‌باشد:
اين شكل نيز نشان دهنده تهديدات موبايل بر اساس منافع مالي در پلتفورم‌هاي مختلف است:
 
مطالب مرتبط:

نظرات

بدون نظر
شما برای نظر دادن باید وارد شوید

نوشته

 
تاریخ ایجاد: 27 مرداد 1392

دسته‌ها

امتیاز

امتیاز شما
تعداد امتیازها:0