تروجان بانکی TsarBot

بدافزار اندرویدی تازه کشف شده به نام TsarBot به عنوان یک تهدید سایبری قابل توجه ظاهر شده است. این بدافزار با هدف قرار دادن بیش از 750 برنامه در بخش های بانکی، مالی، ارزهای دیجیتال و تجارت الکترونیک، خطری جدی برای داده های حساس کاربران ایجاد می کند.

چگونه TsarBot داده های شما را جمع آوری می کند

TsarBot یک تروجان بانکی پیچیده است که از حملات همپوشانی برای سرقت جزئیات بانکی، اعتبار ورود و اطلاعات کارت اعتباری استفاده می کند. TsarBot که در چندین منطقه از جمله آمریکای شمالی، اروپا، آسیا-اقیانوسیه و خاورمیانه فعالیت می کند، از تاکتیک های فریبنده برای نفوذ به دستگاه ها و استخراج یکپارچه داده ها استفاده می کند.

چگونه TsarBot گسترش می یابد: تله ها و ترفندها

TsarBot در درجه اول از طریق وب سایت های مخرب که به عنوان پلتفرم های مالی پنهان شده اند پخش می شود. یک مثال قابل توجه شامل نسخه جعلی پلت فرم معاملاتی غیرمتمرکز Photon SOL است که کاربران را فریب می دهد تا یک برنامه معاملاتی تقلبی را دانلود کنند. علاوه بر این، تاکتیک‌های فیشینگ و مهندسی اجتماعی نقش مهمی در توزیع آن دارند.

بدافزارهایی مانند TsarBot اغلب در محتوای به ظاهر بی‌ضرر تعبیه می‌شوند و از طریق دانلودهای درایو، تبلیغات بد، تاکتیک‌های آنلاین، منابع دانلود مشکوک، ایمیل‌های هرزنامه، به‌روزرسانی‌های جعلی و محتوای غیرقانونی به دست کاربران می‌رسند. برخی از انواع حتی می‌توانند از طریق شبکه‌های محلی و درایوهای USB منتشر شوند و نگهداری آنها را حتی چالش‌برانگیزتر می‌کند.

نحوه کار TsarBot: استاد فریب

TsarBot پس از نصب - اغلب به عنوان خدمات Google Play پنهان می شود - با نمایش صفحه های ورود جعلی بر روی برنامه های کاربردی قانونی، یک حمله همپوشانی را اجرا می کند. این به آن اجازه می دهد تا بدون ایجاد شک و شبهه، اعتبار ورود به سیستم را جمع آوری کند.

فراتر از حملات همپوشانی، TsarBot از تکنیک‌های پیشرفته‌ای مانند ضبط صفحه، کنترل از راه دور دستگاه‌های آلوده و مکانیسم‌های قفل‌گیری استفاده می‌کند که پین‌ها و رمزهای عبور را با استفاده از صفحه‌های قفل جعلی ضبط می‌کند. همچنین می تواند اقدامات کاربر مانند کشیدن انگشت و ضربه زدن را شبیه سازی کند و در عین حال فعالیت های خود را با یک صفحه روکش سیاه پنهان کند.

اتصال Command-and-Control (C&C).

TsarBot با سرور Command-and-Control (C&C) خود از طریق اتصالات WebSocket ارتباط برقرار می کند، که سرقت اطلاعات و فعالیت های جعلی را در زمان واقعی امکان پذیر می کند. این اتصالات به بدافزار اجازه می دهد تا صفحه نمایش را دستکاری کند، ژست ها را اجرا کند و با برنامه های مورد نظر تعامل داشته باشد.

این بدافزار فهرستی به‌روز از برنامه‌های هدفمند، از جمله پلتفرم‌های بانکی از هند، فرانسه، لهستان، و استرالیا، تجارت ارزهای دیجیتال و برنامه‌های رسانه‌های اجتماعی را حفظ می‌کند. هنگامی که کاربران با این برنامه‌ها تعامل دارند، TsarBot یک صفحه فیشینگ جعلی را برای جمع‌آوری اعتبار پوشش می‌دهد و داده‌های جمع‌آوری‌شده را به سرور C&C خود ارسال می‌کند.

چگونه از TsarBot در امان بمانیم

برای محافظت در برابر تهدیداتی مانند TsarBot، کارشناسان امنیت سایبری توصیه می کنند:

• اجتناب از منابع برنامه نامعتبر و فروشگاه های شخص ثالث
• مراقب لینک های فیشینگ و وب سایت های مشکوک باشید
• فعال کردن Google Play Protect برای امنیت بیشتر
• به‌روزرسانی مرتب دستگاه‌ها برای اصلاح آسیب‌پذیری‌ها
• از دانلود نرم افزارهای دزدی یا کرک شده خودداری کنید

با پیچیده‌تر شدن تروجان‌های بانکداری اندروید، کاربران باید مراقب باشند و اقدامات امنیتی پیشگیرانه را برای محافظت از داده‌های خود انجام دهند.