سرقت اطلاعات بانکی از طریق تروجان «توردو»
قالیشویی بانو_هدر
رستوران پارسیان_D
قالیشویی بانو_هدر
رستوران پارسیان_D
دیاکو_موبایل F دومی
ایرانیان - F داخلی موبایل111
قالیشویی بانو_هدر
رستوران پارسیان_D
ایرانیان - f تبلت1111
دکتر نداف کرمانی 1
تدریس خصوصی امیرکبیر_1
فرش مرتضوی_1
تدریس خصوصی امیرکبیر_3
دکتر نداف کرمانی 3
فرش مرتضوی_3
دکتر نداف کرمانی 4
تدریس خصوصی امیرکبیر_4
فرش مرتضوی_ 4
فرش مرتضوی_2
دکتر نداف کرمانی 2
تدریس خصوصی امیرکبیر_2
دیاکو_F داخلی دومی
ایرانیان - F داخلی1111
۴۴۸۰۷۴
۰۵ دی ۱۳۹۵ - ۱۲:۳۵
۱۳۰۷
تروجان “توردو” که مختص سرقت اطلاعات بانکی است، دوباره فعال شده است؛ این تروجان مبادرت به بارگذاری برنامه‌های مخرب در فروشگاه‌های غیرمعتبر می کند و امکان حمله ‌را فراهم می‌کند.
وب سایت کلیک: تروجان "توردو” که مختص سرقت اطلاعات بانکی است، دوباره فعال شده است؛ این تروجان مبادرت به بارگذاری برنامه‌های مخرب در فروشگاه‌های غیرمعتبر می کند و امکان حمله ‌را فراهم می‌کند.
 
 سرقت اطلاعات بانکی از طریق تروجان «توردو»

در سیستم عامل اندروید دسترسی برنامه‌های عادی به منابع سیستمی محدود شده و برای دسترسی به این‌گونه منابع نیاز به سطح دسترسی SuperUser است. رسیدن به این سطح دسترسی با روش‌های خاصی امکان‌پذیر است، ولی در صورتی که برنامه‌ای قابلیت دسترسی به این سطح را پیدا کند، به دلیل اینکه به همه منابع سیستم دسترسی خواهد داشت بسیار خطرناک خواهد بود.

همچنین به دلیل اینکه در سیستم عامل اندروید برنامه‌ها را می‌توان از منابع مختلفی بارگذاری کرد، امکان بارگذاری برنامه‌های آلوده‌ای که در فروشگاه‌های غیرمعتبر وجود دارند زیاد است. این نرم‌افزارها در نگاه اول نرم‌افزارهای سالمی هستند که پس از نصب سعی در به دست آوردن سطح دسترسی بالا و ایجاد آلودگی و یا سرقت اطلاعات دارند.

با توجه به گزارش مرکز ماهر (مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌ای) آزمایشگاه کسپراسکای (Kaspersky) در آغاز فوریه سال ۲۰۱۶، یک تروجان بانکداری روی سیستم‌های اندروید تحت عنوان "توردو” (tordow) پیدا کرد. نویسندگان این تروجان، استفاده از سطح دسترسی root را مفید می‌دانستند. به همین دلیل قابلیت‌های توردو بسیار بیشتر از سایر بدافزارهای بانکداری است و این موضوع می‌تواند باعث ایجاد حملات جدیدی از طرف مهاجمین شود.

روش نفوذ توردو

آلودگی به "توردو” با نصب یک برنامه‌ی معروف اتفاق می‌افتد. در این مورد خاص منظور نسخه اصل برنامه‌ها نیست، بلکه کپی‌هایی که خارج از فروشگاه نرم‌افزار گوگل‌پلی برای دانلود وجود دارد مدنظر است. این فروشگاه‌ها اغلب مکانیزمی برای صحت اعتبار نرم‌افزارهای ثبت‌شده روی خود را ندارند.

نویسندگان بدافزار، نسخه‌های اصلی برنامه‌ها را دانلود و پیاده کرده، کد و فایل‌های جدیدشان را به آنها اضافه می‌کنند. سپس این فایل‌ها را مجددا کامپایل کرده و در فروشگاه‌های نرم‌افزاری غیرمعتبر منتشر می‌کنند. نتیجه برنامه‌ای است که بسیار به نسخه‌ی اصلی شبیه بوده و تمام کارهای نسخه‌ی اصلی را انجام می‌دهد و در عین حال کارایی مورد نظر حمله‌کننده را هم دارد.

پس از اجرای برنامه، کد اضافه‌شده به برنامه اصلی، فایل اضافه‌شده توسط مهاجم به منابع برنامه را رمزگشایی کرده و آن را اجرا می‌کند. فایل اجراشده با سرور حمله‌کننده تماس می‌گیرد و بخش اصلی توردو (که شامل لینک به فایل‌های بیشتر برای دانلود، یک اکسپلویت برای گرفتن سطح دسترسی root، نسخه‌های جدیدتر بدافزار و … است) را دانلود می‌کند.

تعداد لینک‌ها با توجه به قصد مهاجم می‌تواند متفاوت باشد. همچنین هر فایل دانلود شده، می‌تواند مولفه جدیدی را از سرور دانلود، رمزگشایی و اجرا کند. در نتیجه دستگاه آلوده شامل چندین ماژول مخرب است که تعداد و کارایی آنها هم به قصد مالک "توردو” بستگی دارد. در هر صورت، مهاجم شانس این را دارد که از راه دور توسط فرستادن دستوراتی به دستگاه قربانی را کنترل کند. در نتیجه، مهاجمین سایبری کارایی‌های متفاوتی برای دزدیدن پول قربانیان توسط اجرای متدهایی که برای بدافزارهای بانکداری و باج‌افزارها قدیمی است، در اختیار دارند.

کارایی برنامه مخرب شامل فرستادن، دزدیدن و پاک‌کردن SMS ‌ها، ضبط و مسدود کردن تماس‌ها، چک‌ کردن میزان پول، دزدیدن مخاطب‌ها، تماس گرفتن، دانلود و اجرای فایل‌ها، نصب و پاک کردن برنامه‌ها، بلاک کردن دستگاه و نشان ‌دادن یک صفحه وب مشخص که روی سرور مخرب قرار دارد، درست کردن و فرستادن لیستی از فایل‌ها که روی دستگاه موجود است، فرستادن و تغییر نام فایل‌ها و ریبوت کردن دستگاه می‌شود.

پیشنهاد تیم‌های امنیتی این است که کاربران برنامه‌ها را از منابع غیرمطمئن نصب نکنند و برای محافظت از دستگاه‌های اندرویدی از آنتی ویروس استفاده کنند. همچنین یکی از راه‌های جلوگیری از نصب نرم‌افزار از منابع غیرمطمئن، غیرفعال سازی قابلیت unknown sources در قسمت Security از Setting سیستم عامل است.
مطالب مرتبط
نام:
* نظر:
تعداد کاراکترهای مجاز: 450
قوانین ارسال نظر
بانک اطلاعات مشاغل تهران و کرج
فرش ریحان 1
شیرآلات زمانی_1
فرش تارنگ_1
اپیلاسیون نانا 1
فرش تارنگ_3
اپیلاسیون نانا 3
شیرآلات زمانی_3
فرش ریحان 3
اپیلاسیون نانا 4
فرش تارنگ_4
فرش ریحان 4
شیرآلات زمانی_4
فرش تارنگ_2
شیرآلات زمانی_2
اپیلاسیون نانا 2
فرش ریحان 2
شفا_فوترموبایل
استیل رگال_فوتر موبایل
رستوران باغ بهشت_فوتر موبایل
موسسه خیریه زهرا_فوتر موبایل
رستوران پارسیان_فوتر موبایل
دکتر عارفی - موبایل فوتر
دکتر قدیمی_فوتر موبایل
قالیشویی محتشم کاشان_فوتر موبایل
دیاکو_فوتر موبایل داخلی
کالابرد_فوترموبایل
تدبیرکالا_فوتر موبایل
ایرانیان- فوتر موبایل222
قالیشویی بانو_فوترموبایل2
قالیشویی نوین_فوتر موبایل
فرش تارنگ_فوتر موبایل
بانک کتاب پایتخت_فوتر موبایل
قالیشویی ادیب_فوتر موبایل
فنی آتل_فوتر موبایل
دکتر عارفی - فوتر
دکتر قدیمی_فوتر
قالیشویی محتشم کاشان_فوتر
قالیشویی بانو_فوتر2
کالابرد_فوتر
قالیشویی نوین_فوتر
رستوران باغ بهشت _فوتر
ایرانیان-فوتراصلی222
دیاکو_فوتر داخلی
تدبیرکالا_فوتر
موسسه خیریه زهرا_فوتر
بانک کتاب پایتخت_فوتر
قالیشویی ادیب_فوتر
شفا_فوتر
استیل رگال_فوتر
رستوران پارسیان_فوتر
فرش تارنگ_فوتر
فنی آتل_فوتر