⭕️ ۴ بدافزار خطرناک در گوگل پلی

⚠️ بدافزار #جوکر بار دیگر و در قالب ۴ برنامه‌ی اندرویدی به گوگل پلی برگشته و بیش از ۱۰۰ هزار قربانی گرفته است!

👾 همانطور که پیشتر هم بارها به عملکرد جوکر اشاره شده، این بدافزار به پیامک‌ها و نوتیفیکیشن‌های قربانی دسترسی می‌یابد و با ارسال پیامک از دستگاه وی، او را عضو سرویس‌های هزینه‌ای می‌کند.

🔺 ویژگی مشترک این ۴ برنامه، توانایی دانلود و نصب بدافزارهای دیگر بر دستگاه قربانی است، که می‌توانند اعمال مخرب بسیار خطرناک‌تری از عضویت قربانی در سرویس‌های هزینه‌ای داشته باشند.

✔️ گفتنی است این بدافزارها از گوگل پلی حذف شده‌اند، اما ممکن است از پیش بر دستگاه برخی کاربران نصب شده باشند.

💎 اپلیکیشن ضدبدافزار بیت‌بان این بدافزارها را شناسایی می‌کند.

⛔️ نام بدافزارها
> Quick Text SMS
> Blood Pressure Monitor
> Voice Language and Translator
> Smart SMS Messages

🌐 مشخصات ۴ بدافزار

⭕️ سرقت رمزارز در تلگرام، تنها با کلیک بر یک عکس

💸 اخیرا در یک کانال تلگرامی در حوزه‌ی ارز دیجیتال، عکسی ارسال شده که حاوی بدافزار بوده و در صورت کلیک کاربر بر آن، منجر به آلوده شدن سیستم وی و سرقت رمزارزهایش می‌گردد.

👾 عملکرد بدافزار

🔺 پس از کلیک کاربر بر فایل یا عکس مذکور، یک پنجره‌ی خطا با متنی ناخوانا باز می‌شود که در صورت Enter کردن کاربر، سیستم شروع به پینگ گرفتن از خود می‌کند.

🔺 سپس با حذف فایل از دسکتاپ و ذخیره و پنهان شدنش به عنوان یک فایل سیستمی، فعال بودن اتصال را بررسی می‌کند.

🔺 در نهایت بدافزار اجرا شده، یک کپی از کلیدهای عمومی و خصوصی رمزارزهای قربانی گرفته و آنها را در اختیار مهاجم قرار می‌دهد.

💎 این بدافزار یک RAT یا تروجان دسترسی از راه دور بوده و توسط آزمایشگاه بیت‌بان شناسایی می‌شود.

🌐 مشخصات تروجان

⭕️ کلاهبرداری ۲ میلیاردی از کاربران اپلیکیشن شاد

⚠️ طبق گزارش پلیس فتا، دو کلاهبردار سایبری با ارسال پیام به برخی کاربران شبکه آموزشی شاد و معرفی خود به عنوان اپراتور پشتیبان، دسترسی غیرمجاز به دستگاه آنها پیدا کرده و مجموعا بیش از ۲ میلیارد تومان از قربانیان کلاهبرداری کرده‌‌اند.

👾 روش کلاهبرداری

⛔️ کلاهبرداران با ایجاد چندین حساب کاربری در شبکه‌ی شاد، پیامی با عنوان «حذف حساب کاربری» به کاربران ارسال کرده و از آنها می‌خواستند جهت تایید هویت خود، کد ۵ رقمی‌ای که برایشان ارسال شده را، برای پشتیبان بفرستند.

💸 گفتنی است که کد مذکور، کد ورود به تلگرام قربانیان بوده و کلاهبرداران با دسترسی به حساب تلگرام آنها و سوءاستفاده از هویت‌شان، اقدام به کلاهبرداری می‌نموده‌اند.


🌐 نمونه‌ای از پیام جعلی کلاهبرداران به قربانیان شاد

⭕️ جاسوسی دستگاه و سرقت اطلاعات در گوگل پلی

⚠️ به‌تازگی ۳ بدافزار در گوگل پلی شناسایی شده، که در قالب بیش از ۵۰ برنامه‌ی مخرب در آن منتشر شده‌ و مجموعا بیش از ۳۰۰ هزار نصب داشته‌اند.

🤖 بدافزار جوکر

جوکر بدافزاری است که هر بار با تغییر کد، متد اجرایی و روش‌های اعمال پی‌لود خود، راهکارهای امنیتی گوگل پلی را دور می‌زند. از جمله اعمال مخرب جوکر می‌توان به موارد زیر اشاره کرد:

- سرقت پیامک، لیست مخاطبین و اطلاعات دستگاه
- ثبت‌نام در سرویس‌های هزینه‌ای

🎭 بدافزار FaceStealer

این بدافزار پس از نصب، یک صفحه‌ی لاگین جعلی از فیسبوک را باز می‌کند که در صورت ورود شناسه و رمز عبور در آن توسط قربانی، اطلاعات ورودش توسط بدافزار سرقت و برای مهاجم ارسال می‌شود.

💸 بدافزار Coper

این بدافزار یک تروجان بانکی است که در صورت نصب بر دستگاه قربانی، دسترسی کاملی بر پیامک‌های وی پیدا کرده، امکان کنترل دستگاه و اجرای فرمان‌های مورد نظر مهاجم را به وی می‌دهد، و حمله‌ی Overlay را صورت می‌دهد. (دیگر اعمال مخرب Coper)


💎 این بدافزارها توسط اپلیکیشن ضدبدافزار بیت‌بان شناسایی می‌شوند.

🌐 لیست بدافزارهای گوگل پلی (نام و آیکون)

⭕️ از هر سه ایرانی، دستگاه یک نفر آلوده به بدافزار است!

🤖 بر اساس گزارش کسپرسکی، ایران در فصل اول ۲۰۲۲، بالاترین نرخ آلودگی به بدافزار در جهان را دارا بوده، و این ششمین سال متوالی‌ای است که ایران در این جایگاه قرار می‌گیرد.

💡 خوشبختانه نرخ آلودگی دستگاه‌های کاربران ایرانی، از ۴۰.۲۲٪ در سال ۲۰۲۱ به ۳۵.۲۵٪ در فصل اول ۲۰۲۲ کاهش یافته و امید است با افزایش سواد سایبری کاربران و استفاده از راهکارهای امنیتی قدرتمند، این نزول ادامه یافته و فضای امن‌تری برای کاربران شکل گیرد.

💬 همانند گذشته، از میان انواع مختلف بدافزارها، تبلیغ‌افزارها بیشترین تعداد نصب بر دستگاه کاربران ایرانی را داشته و در سه ماهه‌ی اول ۲۰۲۲، متعلق به دو خانواده Notifyer و Fyben بوده‌اند.

💰 سهم ایران از تروجان‌های بانکی، نسبتا کم بوده و تقریبا ۴ درصد کاربران توسط آنها مورد تهدید قرار گرفته‌اند.

👾 تعداد نصب باج‌افزارها هم بطور کلی کاهش داشته و دستگاه تنها یک درصد کاربران ایرانی آلوده به باج‌افزار بوده است.

💎 اپلیکیشن ضدبدافزار بیت‌بان تمامی این بدافزارها را شناسایی می‌کند.

🌐 لیست ۲۰ بدافزار با بیشترین نصب + نقشه آلودگی بدافزارها در جهان

⭕️ آیا اطلاعات حساب کاربری توییتر شما هم لو رفته؟

🤖 دو روز گذشته، هکری با نام devil مطلبی را در فروم breached منتشر و ادعا کرد که با استفاده از یک آسیب‌پذیری امنیتی، توانسته اطلاعات ۵۴۸۵۶۳۶ کاربر توییتر شامل افراد عادی، سلبریتی‌ها و شرکت‌ها را جمع‌آوری کند.

🗂 او این اطلاعات را به مبلغ ۳۰ هزار دلار برای فروش گذاشته که نمونه‌ای از این داده، در قالب یک فایل csv و شامل اطلاعات ۱۰ نفر منتشر شده و قابل مشاهده است.

❓برخلاف ادعای این هکر مبنی بر وجود ایمیل و شماره تلفن کاربران، در نمونه داده‌ی منتشر شده، تنها شماره تلفن دو نفر آورده شده است.

🔗 اطلاعات جمع‌آوری شده شامل چه مواردی است؟

⚙️ طبق بررسی‌های یک محقق امنیت سایبری، این نقص امنیتی مربوط به باگی است که در فرآیند بررسی duplication یک حساب توییتر وجود داشته است.

👾 طبق گفته‌ی zhirinovskiy مهاجم با استفاده از این نقص می‌تواند حساب هر کاربری را تنها با شماره تلفن یا ایمیل وی پیدا کند، حتا اگر کاربر پیدا شدن از طریق دو مورد مذکور را در تنظیمات غیرفعال کرده باشد.

⚠️ این نقص امنیتی در توییتر برطرف شده اما...(+)

🌐 توصیه‌های امنیتی در خصوص این نشت داده

⭕️ سرقت نیم میلیارد دلار رمزارز با یک فایل pdf

⚠️ داستان از این قرار است که یکی از مهندسان ارشد شرکت Sky Mavis، پیشنهاد کاری بسیار جذابی در قالب یک فایل pdf دریافت می‌کند که جاسوس‌افزاری در آن پنهان بوده و بعد از دانلود، به داخل شبکه‌ی شرکت نفوذ کرده است.

💰 جالب است بدانید بازی Axie Infinity که در سال ۲۰۲۱ هفته‌ای ۲۱۵ میلیون دلار درآمد داشت، متعلق به همین شرکت است و در جریان این کلاهبرداری، چیزی نزدیک به ۵۴۰ میلیون دلار، شامل ۲۵.۵ میلیون USDC و ۱۷۳۶۰۰ عدد اتریوم از دست داد!

🔗 بازی Axie Infinity

🔑 کلاهبرداران با استفاده از بدافزار نصب شده بر شبکه‌ی شرکت، توانستند به کلیدهای خصوصیِ validatorهای شبکه، که تایید تراکنش رمزارزها توسط آنها صورت می‌گرفته، دسترسی یابند و از این طریق رمزارزها را به حساب‌های خود منتقل کنند.

🌐 واکنش Sky Mavis + توصیه‌های امنیتی

⭕️ این ۳۶ بدافزار را از دستگاه خود حذف کنید

⚠️ به‌تازگی ۳۶ بدافزار در گوگل پلی شناسایی شده که در قالب برنامه‌هایی چون ویرایشگر عکس، کیبرد مجازی و بهینه‌ساز در این فروشگاه اندرویدی منتشر شده و مجموعا بیش از ۱۰ میلیون نصب داشته‌اند.

👾 این بدافزارها متعلق به دو دسته‌ی کلی تبلیغ‌افزار و جوکر هستند و اعمال مخرب متنوعی از جمله موارد زیر را بر دستگاه قربانی اجرا می‌کنند:

> پنهان کردن آیکون یا جایگزینی آن با مولفه‌های سیستمی
> عضویت کاربر در سرویس‌های هزینه‌ای
> اجرا در پس‌زمینه و کاهش عمر باتری
> نمایش تبلیغات به‌طور آزاردهنده
> هک شبکه‌های اجتماعی قربانی
> اجرای کد مخرب
> سرقت اطلاعات

🔬 نکته‌ی قابل توجه اینکه، این برنامه‌های مخرب امکاناتی که مدعی آن هستند را دارا بوده و عملکردی درست دارند، اما در کنار این ویژگی‌ها و امکانات، اعمال مخربی را هم صورت می‌دهند.

💎 تمامی این بدافزارها توسط اپلیکیشن ضدبدافزار بیت‌بان شناسایی می‌شوند.

🌐 لیست نام بدافزارها

⭕️ جاسوسی و ضبط صفحه نمایش دستگاه کاربر در گوگل پلی

⚠️ علاوه بر ۳۶ برنامه‌ی مخربی که در پست قبلی به آنها اشاره شد، ۱۷ بدافزار دیگر نیز در گوگل پلی شناسایی شده‌اند که در قالب برنامه‌هایی چون اسکنر، پاک کننده، VPN و ضبط کننده تماس، در این فروشگاه اندرویدی منتشر، و اکنون از آن حذف شده‌اند.

👾 این برنامه‌های مخرب حاوی دراپری به نام DawDropper بوده‌اند، که با یک پایگاه داده‌ی Realtime به عنوان سرور C&C ارتباط برقرار می‌کند و پی‌لود نهایی (بدافزار Octo) را از یک ریپازیتوری در گیت‌هاب دانلود و بر دستگاه قربانی نصب می‌نماید.

⛔️ اعمال مخرب Octo

> سرقت اطلاعات (پیام‌ها، لیست مخاطبین و ...) و ارسال به سرور
> ضبط محتوای صفحه نمایش (اطلاعات بانکی، پسوردها و ...)
> سیاه کردن صفحه نمایش جهت پنهان ساختن اعمال مخرب خود

🌐 نام و آیکون بدافزارها

⭕️ پاک کننده و بهینه‌ساز باتری یا تبلیغ‌افزار گوگل پلی؟

⚠️ مجددا ۱۳ بدافزار دیگر در گوگل پلی شناسایی شده، که مجموعا بیش از ۷ میلیون نصب داشته و جزو دسته‌ی تبلیغ‌افزارها محسوب می‌شوند.

🤖 این بدافزارها که همگی در قالب برنامه‌های پاک کننده فایل‌های اضافی و بهینه‌ساز باتری مخفی شده‌اند، پس از نصب و بدون اجرا توسط کاربر، شروع به نمایش آزاردهنده و پیوسته‌ی تبلیغات کرده و سرویس‌های مخرب خود را اجرا می‌نمایند.

🎭 گفتنی است که این تبلیغ‌افزارها می‌توانند آیکون خود را مخفی نموده یا با تغییر آن به آیکون گوگل پلی یا تنظیمات دستگاه، قربانی را فریب دهند.

🎥 ویدئویی از عملکرد یکی از این بدافزارها

⛔️ مهاجمان برای افزایش نصب این بدافزارها از صفحات تبلیغاتی در فیسبوک استفاده می‌کردند و از آنجا که لینک گوگل پلی در تبلیغ بوده، کاربران با اطمینان بیشتری آنها را نصب می‌کرده‌اند.

💎 این تبلیغ‌افزارها توسط اپلیکیشن ضدبدافزار بیت‌بان شناسایی می‌شوند.

🌐 لیست بدافزارها + مشخصات و آیکون

⭕️ سرقت اطلاعات برنامه‌نویسان توسط ۴ پکیج NPM

⚠️ به‌تازگی ۴ پکیج آلوده به بدافزار در ریپازیتوری NPM شناسایی شده، که کد آنها به دو زبان پایتون و جاوااسکریپت بوده و جهت سخت کردن تحلیلْ هنگام بارگذاری در NPM، در سطح بالایی مبهم‌سازی شده‌اند.

🤖 بدافزار پایتونی این کمپین سایبری، نسخه‌ی اصلاح شده‌ی بدافزار Volt Stealer است که توکن‌های دیسکورد ماشین آلوده را سرقت می‌نماید.

👾 بدافزار جاوااسکریپتی نیز، Lofy Stealer نامیده شده و با آلوده کردن فایل‌های دیسکورد، بر فعالیت‌های قربانی نظارت می‌کند.
این بدافزار زمان لاگین کاربر، تغییرات در ایمیل و پسورد، و فعال یا غیرفعال کردن احراز هویت چندعاملی (MFA) را تشخیص می‌دهد، و می‌تواند اطلاعات کارت بانکی قربانی را نیز ضبط و سرقت نماید.

🌐 لیست نام و نسخه‌های متفاوت‌ پکیج‌های آلوده

⭕️ بازگشت کلاهبرداران پیامکی ثنا، این بار از طریق واتساپ

⚠️ سال گذشته بود که عده‌ای از مجرمان سایبری، با ارسال پیامک‌های جعلی به شهروندان، و قرار دادن لینکی مخرب در آن، که منجر به نصب یک بدافزار بانکی بر دستگاه کاربر می‌شد، حساب بانکی وی را خالی می‌کردند.

⛔️ طبق گزارش پلیس فتا، کلاهبرداران این بار از طریق واتساپ اقدام نموده‌ و با ارسال پیامی با مضمون مشاهده ابلاغیه، شکواییه و پرونده، و یک فایل apk، که نمونه‌ای از همان بدافزارهای بانکی ست، به پیامک‌های دستگاه کاربر دسترسی پیدا کرده و با هدایت وی به درگاه‌های پرداخت جعلی، و در نتیجه سرقت اطلاعات بانکی او، حساب بانکی‌اش را خالی می‌کنند.

🔗 نمونه‌ای از این پیامک‌های جعلی

👾 گفتنی ست برخی نمونه‌های این بدافزارها، قادر به ارسال همان پیام جعلی، به ۲۵۰ نفر از مخاطبین شما هستند.

🌐 ۷ هشدار و توصیه‌ی امنیتی

⭕️ هشدار به برنامه‌نویسان پایتون

⚠️ به‌تازگی ۱۰ پکیج مخرب پایتون در ریپازیتوری PYPI شناسایی شده، که در صورت نصب بر سیستم کاربر، اطلاعات و داده‌های شخصی وی را سرقت می‌کنند.

👾 اعمال مخرب پکیج‌های مخرب پایتون

> سرقت اطلاعات و پسوردهای ذخیره شده در مرورگرها
> دانلود و اجرای کدهای مخرب
> سرقت شناسه‌ها و پسوردها
> سرقت AWS credentials

🔺 این ۱۰ پکیج‌ مخرب در حال حاضر از PYPI حذف شده‌اند، اما کاربران توجه داشته باشند که در صورت نصب هریک از آنها، سریعتر به حذف‌شان، و تغییر شناسه‌ها و پسوردهای ذخیره شده‌ی خود در مرورگرها و مابقی اطلاعاتِ در معرض سرقت، اقدام نمایند.

🌐 لیست پکیج‌ها و اعمال مخرب هر کدام

⭕️ افزایش لایک و فالور اینستاگرام یا سرقت پسورد؟

⚠️ با یک جستجوی عادی در اینترنت، به تعداد زیادی اپلیکیشن می‌رسیم که ادعا می‌کنند با نصب آنها می‌توانید تعداد فالور، لایک و کامنت اینستاگرام خود را افزایش دهید و چه بسا آموزش‌هایی تصویری نیز در یوتیوب برای استفاده از آنها آماده شده باشد، اما آیا می‌توان به آنها اعتماد کرد؟

⛔️ بررسی یکی از این اپلیکیشن‌ها نشان می‌دهد که ابتدا از کاربر خواسته می‌شود شناسه و پسورد حساب کاربری اینستاگرام خود را وارد کند تا اطلاعات او با API اینستاگرام بررسی شود که ادعایی دروغ است و اطلاعات لاگین توسط مهاجم ذخیره می‌گردد.

👾 بررسی برخی دیگر از برنامه‌های سارق حساب اینستاگرام (+,+)

🤖 کارکرد بدافزار به این صورت است که کاربران قبلی که در آن ثبت‌نام کرده‌اند، توسط مهاجم، کاربران جدید را فالو می‌کنند.

🔗 کارکرد بدافزار + چند اسکرین‌شات از صفحات داخلی آن

💎 این بدافزار توسط اپلیکیشن ضدبدافزار بیت‌بان شناسایی می‌شود.

🌐 مشخصات بدافزار

⭕️ هشدار: پیامک «سلام ریحان» کلاهبرداری رمزارز است

⚠️ اخیرا پیامک‌هایی جعلی مبنی بر به‌روزرسانی حساب کاربری یک پلتفرم معاملاتی رمزارز، به برخی از کاربران ایرانی ارسال شده، که شناسه و رمز عبور ورود به پلتفرم، به همراه موجودی حساب (تقریبا ۲۰۰ هزار دلار) در آن ذکر شده است.

🤖 در ابتدا به‌نظر می‌رسد که حساب کاربری شخصی به نام «ریحان» به‌روزرسانی شده و اطلاعات ورود جدید وی، به اشتباه به شماره‌ی شما ارسال شده است.

💸 حال در صورت مراجعه و ورود به وب‌سایت جعلی usdtpky.com و اقدام به برداشت بخشی از تتر موجود در حساب، ممکن است موجودی قربانی در کیف پولی که قصد انتقال تتر از این حساب جعلی به آن را داشته‌، توسط مهاجم سرقت شود.

🔗 روش سرقت (درخواست key)

⛔️ توجــــه

توجه داشته باشید که این روش کلاهبرداری در بین کاربران ایرانی زیاد شده و مهاجمان با ارسال پیام‌های مشابه در پیام‌رسان‌های مختلف، قصد سرقت موجودی رمزارز شما را دارند.

🌐 چند نمونه از پیامک‌های جعلی + تصاویر داخلی سایت

⭕️ ۱۲ پکیج آلوده به بدافزار پایتون، دیپ لرنینگ و کانتر زدن با هکر

⚠️ ۴ روز گذشته هکری با شناسه‌ی devfather777 در PYPI، چندین پکیج آلوده در PYPI منتشر کرد، که نام آنها با روش typosquatting، مشابه نام پکیج‌های بسیار معروفی مانند tensorflow ،Flask و docutils انتخاب شده بود.

👓 به عنوان مثال نام پکیج اصلی Keras و پکیج آلوده با نام kears منتشر شده است. در این حالت احتمال بی‌توجهی کاربر به این اختلافات جزئی و نصب پکیج زیاد بوده و در نتیجه منجر به نصب بدافزار بر سیستم قربانی می‌گردد.

⛔️ هدف مهاجم
مهاجم با انتشار این پکیج‌های آلوده و نصب بدافزار بر سیستم قربانیان، سعی داشته حمله‌ای DDOS از سیستم‌های آلوده، به یکی از سرورهای بازی Counter-strike 1.6 در روسیه صورت دهد.

👾 جالب است بدانید محققی که این پکیج‌های آلوده را شناسایی کرده، از طرفداران کانتر بوده و مهاجم را به یک دست بازی تک به تک دعوت نموده، که البته هنوز پاسخی دریافت نکرده، اما در صورت پذیرش مهاجم، قرار است بازی به صورت زنده استریم شود و مهاجم در صورت باخت، حملات خود را متوقف کند.

🌐 لیست ۱۲ پکیج آلوده + زنجیره‌ی حمله

⭕️ آیا اینستاگرام و تیک‌تاک از کاربران خود جاسوسی می‌کنند؟

⚠️ طبق بررسی‌های فلیکس کروز، برخی اپلیکیشن‌ها مانند اینستاگرام، تیک‌تاک و فیسبوک، که دارای مرورگر داخلی هستند، با تزریق کد جاوااسکریپت به وب‌سایت‌های باز شده، به اطلاعات بسیار زیادی از کاربران و رفتار آنها در وب‌سایت‌های مذکور دست پیدا می‌کنند.

🔺 توجه
اکیدا توصیه می‌شود از باز کردن لینک‌ها در مرورگرهای داخلی اپلیکیشن‌ها پرهیز نمایید، چراکه جز مورد فوق، در بسیاری از حملات فیشینگ نیز، از این مرورگرها استفاده می‌شود.

⛔️ ریسک‌ها و معایب مرورگر داخلی
۱. تزریق تبلیغات به صفحات وب‌سایت‌ها
۲. ردیابی خریدهای آنلاین و اطلاعات کارت بانکی
۳. ردیابی کلیک‌ها، ورودی‌ها، موارد کپی و جایگزین شده
۴. سرقت شناسه و پسوردهای کاربر، آدرس فیزیکی و کلیدهای API

🔺 توصیه‌ها
تا جای ممکن سعی کنید از مرورگرهای اصلی خود برای باز کردن لینک‌ها استفاده کنید.
در بسیاری از موارد، تنها در صورت کلیک، لینک‌ها در مرورگر داخلی برنامه باز می‌شوند و گزینه‌ای برای باز شدن در مرورگرهای دیگر ندارند. از این رو توصیه می‌شود، لینک مورد نظر خود را کپی و آن را در مرورگر امن دستگاه باز نمایید.

⭕️ کاهش نرخ آلودگی دستگاه کاربران ایرانی به بدافزار

🤖 بر اساس گزارش کسپرسکی، ایران در فصل دوم ۲۰۲۲ نیز، بالاترین نرخ آلودگی به بدافزار در جهان را دارا بوده اما، این نرخ با روند خوبی در حال کاهش است.

📉 به‌طور دقیق‌تر، نرخ آلودگی دستگاه‌های کاربران ایرانی، از ۴۰.۲۲٪ در سال ۲۰۲۱ به ۳۵.۲۵٪ در فصل اول ۲۰۲۲ و حالا به ۲۶.۹۱٪ در فصل دوم این سال کاهش یافته است.

⚠️ تبلیغ‌افزارها همچنان بیشترین نوع از بدافزارهای نصب شده بر دستگاه کاربران ایرانی، و به‌طور عمده متعلق به دو خانواده‌ی زیر بوده‌اند:

AdWare.AndroidOS.Notifyer
AdWare.AndroidOS.Fyben

👾 تعداد نصب تروجان‌های بانکی نسبت به فصل گذشته نصف شده (۲٪) و میزان نصب باج‌افزارها، ۱٪ باقی مانده است.

🔺 اما احتمالا، اوضاع بدتر از اینهاست...

به این فکر کنید که این آمار مربوط به کاربران آنتی‌ویروس کسپرسکی است، که وجود آنتی‌ویروس بر دستگاه آنها، نشان از آگاهی نسبی‌شان به وجود بدافزارهاست.

اما در مقابل، حجم عظیمی از کاربرانی قرار می‌گیرند که به امنیت دستگاه خود و خطرهای موجود در فضای سایبری بی‌توجه‌اند و میزان آلودگی دستگاه‌هایشان در این آمارها لحاظ نمی‌شود.

⭕️ هشدار: هک آیفون، آیپاد، آیپد و مک

⚠️ به‌تازگی دو نقص امنیتی در بسیاری از محصولات اپل شناسایی شده که مهاجم در صورت استفاده از آنها می‌تواند کد مخرب مدنظرش را بر دستگاه کاربر اجرا کرده و کنترل کاملی بر آن بیابد.

👾 جزئیات این دو نقص امنیتی هنوز منتشر نشده، اما طبق اعلام اپل، به‌نظر می‌رسد برخی مهاجمان از این نقص‌ها مطلع بوده و از آنها استفاده کرده‌اند.

⚙️ در نتیجه، چنانچه دارای یکی از محصولات زیر هستید، اکیدا توصیه می‌شود دستگاه خود را به آخرین نسخه به‌روزرسانی نمایید:

> آیفون ۶ به بعد
> تمام مدل‌های آیپد پرو
> آیپد Air 2 به بعد
> آیپدهای نسل ۵ به بعد
> آیپد مینی ۴ به بعد
> آیپاد تاچ نسل ۷
> مک‌های با سیستم عامل macOS Monterey

⭕️ گوگل ترنسلیت یا بدافزار ماینر رمزارز؟

⚠️ به‌تازگی یک کمپین مخرب استخراج رمزارز شناسایی شده، که با بهینه‌سازی موتورهای جستجو در عناوینی مانند «نسخه دسکتاپ گوگل ترنسلیت» بالا آمده و از این طریق بدافزار ماینر خود را از طریق این اپلیکیشن‌ها منتشر کرده و سیستم قربانیان را آلوده می‌نمایند.

💸 برنامه در لایه‌ی اول، نسخه‌ای از گوگل ترنسلیت است که توسط CEF(chromiumembedded) توسعه داده شده و تنها یک ماه بعد از نصب است که بدافزار بر سیستم قربانی اجرا می‌شود.

👾استخراج رمزارز در این کمپین توسط ماینر معروف XMRig صورت می‌گیرد، و طبق بررسی‌ها تاکنون هزاران نفر از ۱۱ کشور مختلف، قربانی این کمپین بوده‌اند.

🧲 گفتنی است به علت چند مرحله‌ای بودن زنجیر حمله و تاخیر در اجرای بدافزار نهایی، نرخ شناسایی آن توسط آنتی‌ویروس‌ها بسیار پایین بوده و نیازمند توجه ویژه از سوی کاربران است.

⭕️ خالی کردن حساب بانکی توسط دو آنتی‌ویروس در گوگل پلی

⚠️ بدافزار Sharkbot (+ - + - + ) بار دیگر و باز هم در قالب آنتی‌ویروس و پاک‌کننده به گوگل پلی بازگشته و بیش از ۶۰ هزار دفعه نصب گرفته است.

🔰 مهاجمان در نسخه‌های قبلی این بدافزار از Accessibility permissions استفاده می‌کردند که در حال حاضر با محدودیت‌های گوگل پلی در فرآیند انتشار برنامه‌ها، گزینه‌ی مناسبی به‌نظر نمی‌رسد.

🔺در نسخه‌ی جدید Sharkbot، پس از نصب، از کاربران درخواست می‌شود برنامه را به‌روزرسانی نمایند که در صورت موافقت کاربر، بدافزار اصلی بر دستگاه وی نصب می‌شود.

👾 اعمال مخرب

۱. حمله‌ی OVerlay: باز کردن یک صفحه‌ی جعلی جهت سرقت اطلاعات ورود و ...
۲. کی‌لاگینگ
۳. دسترسی به پیامک‌های کاربر
۴. کنترل از راه دور (انجام تراکنش‌های بانکی)

💡 در حال حاضر ایرانیان جزو کاربران هدف این بدافزار نیستند، و قصد فعلی مهاجمان، سرقت از حساب بانکی قربانیان است، با این حال، امکان هرگونه تغییری در بدافزار وجود دارد و بعید نیست والت‌های رمزارز کاربران مورد هدف قرار گیرد.

⛔️ نام دو آنتی‌ویروس جعلی:

> Mister Phone Cleaner
> Kylhavy Mobile Security