هکر

گوگل به نظر می رسد مشکلی در توقف برنامه های مخرب از غرق شدن در فروشگاه Play داشته باشد.

در مواردی که به نظر می رسد مورد دیگری از نرم افزارهای مخرب که به عنوان یک برنامه مشروع شناخته می شوند، محققان امنیتی Symantec یک برنامه جدید را پیدا کرده اند که خود را به عنوان یک نسخه غیر رسمی نرم افزار پیام رسان Telegram معرفی می کند - فقط برای فشار دادن وب سایت های مخرب در پس زمینه.

به نام MobonoGram 2019، این برنامه از کد منبع باز برنامه Telegram معتبر استفاده کرد، اما قبل از انتشار آن در فروشگاه Google Play، با نرم افزارهای مخرب تزریق شد.


کد مخرب در دستگاه آلوده به منظور انتشار نرم افزارهای مخرب "Android.Fakeyouwon" مورد استفاده قرار گرفت و URL های مخرب دریافت شده از یک سرور فرمان و کنترل (C & C) را بارگیری کرد.

Google Play به عنوان یک حفره برای نرم افزارهای مخرب است
این اولین بار نیست که برنامه های مخرب در فروشگاه Play گوگل پیدا شده اند. در عرض چند ماه گذشته، غول جستجو با شمار زیادی از برنامه های مخرب در فروشگاه App مبارزه کرده است.

بخاطر ماهیت باز پلتفرم، مسئله ای است که به وقوع می پیوندد.

از برنامه های تقلبی و بازی ها برای کپی کردن برنامه هایی که به طور صریح تبلیغاتی در دستگاه های آلوده، از نرم افزارهای جاسوسی به برنامه های تبلیغاتی به منظور تولید درآمد ناامن استفاده می کنند، میزان تهدیدات دستگاه های اندرویدی بسیار گسترش یافته است.

از سوی دیگر، گوگل توانسته است Google Play Protect را به عنوان وسیله ای برای محافظت از دستگاه ها از برنامه های کاربردی مضر استفاده کند.

در حالی که تلاش های این شرکت باعث حذف بیش از 700،000 برنامه تنها در سال گذشته شد، شکاف در روند بررسی آن بارها و بارها باعث شده است که برنامه های بد با گذشت زمان و بار دیگر از بین بروند.

مسائل نیز با مشکلی بزرگتر از Play Store همراه شده است: بازیگران بد می توانند قصد واقعی خود را از طریق مخرب کردن کد مخرب در پشت موانع رمزگذاری که سخت افزار را برای تشخیص نرم افزارهای مخرب دچار مشکل می کنند، مسدود کنند.

با وجود این جریان مستمر از گزارشهای مربوط به ابزارهای تبلیغاتی جدید و سایر بدافزارهایی که در فروشگاه Google Play یافت میشوند، گوگل همچنان بر این تأکید است که نرخها در واقع بسیار پایین هستند و کاربران تنها تنها برنامههای نصب شده از Google Play را امنتر میکنند.

اما این حوادث به منظور نشان دادن محدودیت های فیلتر برنامه های خود گوگل، افزایش نگرانی های امنیتی در مورد فروشگاه آن ظاهرا بررسی شده است.

چگونه بدافزار MobonoGram کار می کند
MobonoGram موجود در زبان انگلیسی و فارسی، کاربران را در کشورهایی مانند ایران و روسیه هدف قرار داده است - جایی که برنامه رسما ممنوع است - و ایالات متحده.

محققان دریافتند که اگر چه برنامه قابلیت ارسال پیام های اساسی را فراهم می کند، همچنین نشان داده شد که مخفیانه چند سرویس در دستگاه را بدون رضایت کاربر اجرا می کند، همچنین بارگیری و مرور جریان بی پایان وب سایت های مخرب در پس زمینه.

"ترجمه مبالغهام یک نسخه غیر رسمی جریان اصلی Telegram است که بدون هیچ گونه فیلتر شکن کار می کند و ویژگی های بسیار بیشتری از Telegram و سایر نسخه های غیر رسمی دارد"، ترجمه فارسی توضیحات برنامه را می خواند.

برنامه مخرب دارای یک مکانیزم ماندگاری بود که برنامه را هر بار که دستگاه را بوت کرد یا هر بار که یک برنامه نصب یا به روز شد، راه اندازی کرد.

بر طبق محققان، این ویژگی Autostart که به عنوان یک سرویس پیش زمینه اجرا می شود یا پس از گذشت دو ساعت در صورت خاتمه سرویس، دوباره شروع می شود، برای ایجاد تعدادی از سرویس های اضافی بدون دانش کاربر استفاده می شود.

هنگامی که برنامه در حال اجرا بود، به مجموعه ای از سرویس دهنده های C & C دسترسی پیدا کرد تا URL های خرابکارانه، یک عامل کاربر مرورگر برای مخفی کردن منبع درخواست و سه کد جاوا اسکریپت را دریافت کند.

محققان اظهار داشتند که کد جاوا اسکریپت برای ایجاد تقلب کلیک و ایجاد درآمد آگهی تقلبی طراحی شده است.

"رویدادهای کلیک در عمل دیده نمی شد، حتی اگر همه جاوا اسکریپت ها واقعا لود شده بودند. با این وجود، ما نمیتوانیم به طور کامل امکان استفاده از نرم افزارهای مخرب را برای تقلب در کلیک یا برخی دیگر از سرقتهای مخرب رد کنیم. "

به غیر از این، محققین سیمانتک نیز دریافتند که برخی از URL ها وجود دارند که باعث ایجاد یک حلقه بی نهایت درخواست ها به یک وب سایت مخرب می شود. چنین فعالیتی می تواند باتری دستگاه را از بین ببرد، در حالی که به طور بالقوه باعث خرابی آن می شود.

بر اساس داده های دور سنجی بین ماه های ژانویه تا ماه مه سال 2019، شرکت امنیتی سایبری اعلام کرد که 1،235 عفونت مربوط به خانواده بدافزار Android.Fakeyouwon را شناسایی کرده و مسدود کرده است، با بیشترین تعداد عفونت در ایالات متحده، ایران، هند و امارات متحده عربی.

بلافاصله مشخص نیست که چه مدت MobonoGram 2019 در دسترس بود. اما این برنامه بیش از 100000 بار دانلود شده است، و توسعه دهنده - RamKal Developers - حداقل تا پنج روز به روز رسانی را پیش از آنکه گوگل آن را از فروشگاه Play حذف کرد. همان توسعه دهنده نیز یک برنامه دوم به نام Whatsgram منتشر کرد که رفتار مشابه مشابهی را نشان داد.

با این حال، یک جستجوی ساده نشان می دهد که برنامه ها همچنان در مخازن برنامه های غیر رسمی شخص ثالث در دسترس هستند.

با بیش از 1.5 بیلیون کاربر، WhatsApp همچنان یکی از محبوب ترین سرویس های پیام رسانی در این سیاره است.


با این حال، با اینکه بسیاری از افراد هر روز به این برنامه دسترسی پیدا می کنند، آن را به عنوان یک پلت فرم ایده آل برای هکرهایی که قصد سرقت اطلاعات شخصی را دارند، می سازد.

WhatsApp هیچ غریبه ای برای این نوع حملات نیست، اما آخرین تهدید قطعا یکی از جدی ترین موارد است.

در حقیقت، سازمان تنظیم مقررات مخابراتی امارات متحده عربی بسیار نگران است که پیامی به کاربران هشدار داده است تا خطرات را به آنها منتقل کند.

در توییتر خوراک رسمی خود، TRA گفت: "هیچ کد اسکایپ را با کسی به اشتراک نگذارید، بنابراین حساب شما به خطر نمی افتد.

"این عکس را برای آموزش افراد در اطراف خود به اشتراک بگذارید.

"بسیاری از حسابهای WhatsApp به این ترتیب هک شدند و مشترکین تمام جزئیات خود را از دست دادند"

به نظر می رسد که این کلاهبرداری تلاش می کند تا کاربران WhatsApp را از طریق یک کد تأیید جعلی کپی کند.

کسانی که آن را دریافت می کنند خواسته می شود که به پیام پاسخ دهند یا روی پیوند کلیک کنند که پس از آن می تواند منجر به آسیب پذیر بودن حساب شود.
چه چیزی باعث این کلاهبرداری هوشمندانه است این است که WhatsApp پیام های مشابهی را ارسال می کند زمانی که کاربران برای اولین بار حساب های خود را راه اندازی می کنند و یا می خواهند از خدمات مانند WhatsApp برای وب استفاده کنند.

با این حال، لازم به ذکر است که این تنها زمانی ارسال می شود که یک کاربر برای ایجاد یک کد از دکمه استفاده کند.

اگر از یک کد خواسته نشده و پیامی شبیه به ارسالی در توییتر دریافت نکنید، احتمالا کلاهبرداری است و شما توصیه می شود آن را بلافاصله حذف کنید.

در حال حاضر مشخص نیست که آیا این حمله اخیر به امارات متحده عربی محدود است یا خیر، اما همیشه باید به این هک ها هشدار داد.
در اوایل سال جاری یکی دیگر از کلاهبرداری های محبوب، باز هم با هکرهایی که تلاش می کردند کاربران را با نسخه ای به نام WhatsApp Gold طرد کنند، باز گشت.

ادعای WhatsApp Gold در پیامی است که همچنین به کاربران در مورد تهدید ویدیویی ادعا می کند.

پیامی که در حال پخش است می گوید یک ویدئو در WhatsApp به نام Martinelli به زودی در اطراف برنامه ******** ارسال می شود.

با این حال، این ویدیو ادعا می شود یک کلیپ جعلی است که به سادگی نرم افزارهای مخرب را بر روی یک گوشی کاربر WhatsApp بارگیری می کند.

هر دو ادعا از سرویس WhatsApp Gold - و وجود یک ویدیو Martinelli - جعلی هستند.

WhatsApp قبلا درباره کلاهبرداری WhatsApp Gold صحبت کرده بود، زمانی که هنرمندان هنرمند پیامهایی را در مورد آن منتشر کردند اما آن را WhatsApp Plus نامگذاری کردند.

برنامه ******** گفت: "WhatsApp پلاس برنامه ای است که توسط WhatsApp توسعه داده نشده است، و همچنین توسط WhatsApp مجاز نیست.

"توسعه دهندگان WhatsApp Plus هیچ ارتباطی با WhatsApp ندارند و ما از WhatsApp Plus پشتیبانی نمی کنیم.

"لطفا توجه داشته باشید که WhatsApp Plus شامل کد منبع است که WhatsApp نمی تواند به عنوان امن تضمین کند و اطلاعات شخصی شما به طور بالقوه بدون اطلاع شما یا مجوز به طرفین 3 منتقل می شود."

امروزه هکرها روز گذشته از تقریبا 19 میلیون دلار از رمزنگاری ارز استفاده کرده اند.

به گفته Dovey Wan، که ابتدا اطلاعاتی در مورد رسانه های اجتماعی را شکست، هکرها توانستند تعدادی از کیف های EOS و XRP داغ Bithumb را به خطر اندازند و حدود 3 میلیون EOS (~ 13 میلیون دلار) و 20 میلیون XRP (~ 6 میلیون دلار) به حساب های تازه ایجاد شده خود.
هکر پس از آن توزیعا دارایی های دیجیتال دزدیده شده را به حساب های مختلف خود که در سایر مبادلات رمزنگاری شده از جمله Huobi، HitBTC، WB و EXmo منتقل شده است، از طریق ChangeNow، پلت فرم مبادله رمزنگاری غیر توقیف نشده، نیازی به KYC / حساب ندارد.
Bithumb در چندین بار هک شده است. آخرین زمان معامله رمزنگاری ارز محبوب در ژوئن 2018، زمانی که هکرها به سرقت برده بود 31 میلیون دلار، و در ماه ژوئیه 2017، زمانی که هکرها یک میلیون دلار EOS از بسیاری از کیف پول متعلق به کاربران آن را به سرقت برده بود، هک شد.
"و این دومین بار است که Bithumb یک هک اصلی را دید، آخرین بار با خرابی بیش از 30 میلیون دلار هک شده بود. لول و پس از اولین هک، هنوز قادر به دریافت مجوز فیات از کره و WTF شد" وان در توییتر می گوید.
گزارش شده است که کلید خصوصی حساب EOS برای حساب کیف پول متعلق به Bitumbat به سرقت رفته است (آدرس g4ydomrxhege)، که به هکر اجازه داده بود که این وجوه را به آدرس خود انتقال دهد "ifguz3chmamg."
تصویر فوق توسط Changpeng ژائو، مدیر عامل شرکت Exchange Bonding Cryptocurrency، توضیح می دهد که چگونه هکرها پس انداز خود را از Bithumb توزیع کرده است.
در اینجا نحوه هکرها توزیع و انتقال وجوه به سرقت رفته را به حساب خود در مبادلات مختلف منتقل می کند:

• EXMO: 662،600
• Huobi: 263،605
• Changelly 143،511
• KuCoin: 96،270
• CoinSwitch: 38،725

با توجه به یک پست وبلاگ که توسط شرکت امروز منتشر شده، Bithumb همچنان در مورد هک تحقیقاتی را انجام داده است که به اعتقاد آن با کمک یک خودی انجام شده است و حادثه نقض امنیتی را به سازمان امنیتی اینترنت و امنیت کره (KISA) و پلیس سایبری گزارش کرده است. .
بیثموم گفت: "ما عمیقا از اعضای ما عذر خواهیم داشت تا به تأخیر افتادن سپرده و سرویس برداشت اوراق قرضه."
"در نتیجه بازرسی، تصور می شود که این حادثه یک حادثه ناشی از افراد داخلی است؛ زیرا مسیر نفوذ خارجی تاکنون مشخص نشده است. بر اساس واقعیت ها، تحقیقات فشرده با KISA، آژانس پلیس سایبری و شرکت های امنیتی. "
در ضمن، بیوتیوم گفت که این شرکت با مبادلات عمده مبادله اوراق قرضه و بنیادها در تلاش است تا از دست دادن معادل کریستوآرایی بهره ببرد.
سال گذشته زمانی که مبادله هک شد و 30 میلیون دلار در EOS از بین رفت، نتوانست نیمی از صندوق های سرقت شده را بازیابی کند.
آیا Bithumb قادر به انجام همان در این زمان است؟