سرقت اطلاعات بانکی با “توردو”
تروجان "توردو" که مختص سرقت اطلاعات بانکی است، بارگذاری برنامهها از فروشگاههای غیرمعتبر امکان آلودگی و حمله را فراهم میکند.
در سیستم عامل اندروید دسترسی برنامههای عادی به منابع سیستمی محدود شده و برای دسترسی به اینگونه منابع نیاز به سطح دسترسی SuperUser است. رسیدن به این سطح دسترسی با روشهای خاصی امکانپذیر است، ولی در صورتی که برنامهای قابلیت دسترسی به این سطح را پیدا کند، به دلیل اینکه به همه منابع سیستم دسترسی خواهد داشت بسیار خطرناک خواهد بود.
همچنین به دلیل اینکه در سیستم عامل اندروید برنامهها را میتوان از منابع مختلفی بارگذاری کرد، امکان بارگذاری برنامههای آلودهای که در فروشگاههای غیرمعتبر وجود دارند زیاد است. این نرمافزارها در نگاه اول نرمافزارهای سالمی هستند که پس از نصب سعی در به دست آوردن سطح دسترسی بالا و ایجاد آلودگی و یا سرقت اطلاعات دارند.
با توجه به گزارش مرکز ماهر (مدیریت امداد و هماهنگی عملیات رخدادهای رایانهای) آزمایشگاه کسپراسکای (Kaspersky) در آغاز فوریه سال ۲۰۱۶، یک تروجان بانکداری روی سیستمهای اندروید تحت عنوان "توردو" (tordow) پیدا کرد. نویسندگان این تروجان، استفاده از سطح دسترسی root را مفید میدانستند. به همین دلیل قابلیتهای توردو بسیار بیشتر از سایر بدافزارهای بانکداری است و این موضوع میتواند باعث ایجاد حملات جدیدی از طرف مهاجمین شود.
روش نفوذ توردو
آلودگی به "توردو" با نصب یک برنامهی معروف اتفاق میافتد. در این مورد خاص منظور نسخه اصل برنامهها نیست، بلکه کپیهایی که خارج از فروشگاه نرمافزار گوگلپلی برای دانلود وجود دارد مدنظر است. این فروشگاهها اغلب مکانیزمی برای صحت اعتبار نرمافزارهای ثبتشده روی خود را ندارند.
نویسندگان بدافزار، نسخههای اصلی برنامهها را دانلود و پیاده کرده، کد و فایلهای جدیدشان را به آنها اضافه میکنند. سپس این فایلها را مجددا کامپایل کرده و در فروشگاههای نرمافزاری غیرمعتبر منتشر میکنند. نتیجه برنامهای است که بسیار به نسخهی اصلی شبیه بوده و تمام کارهای نسخهی اصلی را انجام میدهد و در عین حال کارایی مورد نظر حملهکننده را هم دارد.
پس از اجرای برنامه، کد اضافهشده به برنامه اصلی، فایل اضافهشده توسط مهاجم به منابع برنامه را رمزگشایی کرده و آن را اجرا میکند. فایل اجراشده با سرور حملهکننده تماس میگیرد و بخش اصلی توردو (که شامل لینک به فایلهای بیشتر برای دانلود، یک اکسپلویت برای گرفتن سطح دسترسی root، نسخههای جدیدتر بدافزار و … است) را دانلود میکند.
تعداد لینکها با توجه به قصد مهاجم میتواند متفاوت باشد. همچنین هر فایل دانلود شده، میتواند مولفه جدیدی را از سرور دانلود، رمزگشایی و اجرا کند. در نتیجه دستگاه آلوده شامل چندین ماژول مخرب است که تعداد و کارایی آنها هم به قصد مالک "توردو" بستگی دارد. در هر صورت، مهاجم شانس این را دارد که از راه دور توسط فرستادن دستوراتی به دستگاه قربانی را کنترل کند. در نتیجه، مهاجمین سایبری کاراییهای متفاوتی برای دزدیدن پول قربانیان توسط اجرای متدهایی که برای بدافزارهای بانکداری و باجافزارها قدیمی است، در اختیار دارند.
کارایی برنامه مخرب شامل فرستادن، دزدیدن و پاککردن SMS ها، ضبط و مسدود کردن تماسها، چک کردن میزان پول، دزدیدن مخاطبها، تماس گرفتن، دانلود و اجرای فایلها، نصب و پاک کردن برنامهها، بلاک کردن دستگاه و نشان دادن یک صفحه وب مشخص که روی سرور مخرب قرار دارد، درست کردن و فرستادن لیستی از فایلها که روی دستگاه موجود است، فرستادن و تغییر نام فایلها و ریبوت کردن دستگاه میشود.
پیشنهاد تیمهای امنیتی این است که کاربران برنامهها را از منابع غیرمطمئن نصب نکنند و برای محافظت از دستگاههای اندرویدی از آنتی ویروس استفاده کنند. همچنین یکی از راههای جلوگیری از نصب نرمافزار از منابع غیرمطمئن، غیرفعال سازی قابلیت unknown sources در قسمت Security از Setting سیستم عامل است.