⭕️ جاسوسی دستگاه و سرقت اطلاعات در گوگل پلی

⚠️ به‌تازگی ۳ بدافزار در گوگل پلی شناسایی شده، که در قالب بیش از ۵۰ برنامه‌ی مخرب در آن منتشر شده‌ و مجموعا بیش از ۳۰۰ هزار نصب داشته‌اند.

🤖 بدافزار جوکر

جوکر بدافزاری است که هر بار با تغییر کد، متد اجرایی و روش‌های اعمال پی‌لود خود، راهکارهای امنیتی گوگل پلی را دور می‌زند. از جمله اعمال مخرب جوکر می‌توان به موارد زیر اشاره کرد:

- سرقت پیامک، لیست مخاطبین و اطلاعات دستگاه
- ثبت‌نام در سرویس‌های هزینه‌ای

🎭 بدافزار FaceStealer

این بدافزار پس از نصب، یک صفحه‌ی لاگین جعلی از فیسبوک را باز می‌کند که در صورت ورود شناسه و رمز عبور در آن توسط قربانی، اطلاعات ورودش توسط بدافزار سرقت و برای مهاجم ارسال می‌شود.

💸 بدافزار Coper

این بدافزار یک تروجان بانکی است که در صورت نصب بر دستگاه قربانی، دسترسی کاملی بر پیامک‌های وی پیدا کرده، امکان کنترل دستگاه و اجرای فرمان‌های مورد نظر مهاجم را به وی می‌دهد، و حمله‌ی Overlay را صورت می‌دهد. (دیگر اعمال مخرب Coper)


💎 این بدافزارها توسط اپلیکیشن ضدبدافزار بیت‌بان شناسایی می‌شوند.

🌐 لیست بدافزارهای گوگل پلی (نام و آیکون)

⭕️ از هر سه ایرانی، دستگاه یک نفر آلوده به بدافزار است!

🤖 بر اساس گزارش کسپرسکی، ایران در فصل اول ۲۰۲۲، بالاترین نرخ آلودگی به بدافزار در جهان را دارا بوده، و این ششمین سال متوالی‌ای است که ایران در این جایگاه قرار می‌گیرد.

💡 خوشبختانه نرخ آلودگی دستگاه‌های کاربران ایرانی، از ۴۰.۲۲٪ در سال ۲۰۲۱ به ۳۵.۲۵٪ در فصل اول ۲۰۲۲ کاهش یافته و امید است با افزایش سواد سایبری کاربران و استفاده از راهکارهای امنیتی قدرتمند، این نزول ادامه یافته و فضای امن‌تری برای کاربران شکل گیرد.

💬 همانند گذشته، از میان انواع مختلف بدافزارها، تبلیغ‌افزارها بیشترین تعداد نصب بر دستگاه کاربران ایرانی را داشته و در سه ماهه‌ی اول ۲۰۲۲، متعلق به دو خانواده Notifyer و Fyben بوده‌اند.

💰 سهم ایران از تروجان‌های بانکی، نسبتا کم بوده و تقریبا ۴ درصد کاربران توسط آنها مورد تهدید قرار گرفته‌اند.

👾 تعداد نصب باج‌افزارها هم بطور کلی کاهش داشته و دستگاه تنها یک درصد کاربران ایرانی آلوده به باج‌افزار بوده است.

💎 اپلیکیشن ضدبدافزار بیت‌بان تمامی این بدافزارها را شناسایی می‌کند.

🌐 لیست ۲۰ بدافزار با بیشترین نصب + نقشه آلودگی بدافزارها در جهان

⭕️ آیا اطلاعات حساب کاربری توییتر شما هم لو رفته؟

🤖 دو روز گذشته، هکری با نام devil مطلبی را در فروم breached منتشر و ادعا کرد که با استفاده از یک آسیب‌پذیری امنیتی، توانسته اطلاعات ۵۴۸۵۶۳۶ کاربر توییتر شامل افراد عادی، سلبریتی‌ها و شرکت‌ها را جمع‌آوری کند.

🗂 او این اطلاعات را به مبلغ ۳۰ هزار دلار برای فروش گذاشته که نمونه‌ای از این داده، در قالب یک فایل csv و شامل اطلاعات ۱۰ نفر منتشر شده و قابل مشاهده است.

❓برخلاف ادعای این هکر مبنی بر وجود ایمیل و شماره تلفن کاربران، در نمونه داده‌ی منتشر شده، تنها شماره تلفن دو نفر آورده شده است.

🔗 اطلاعات جمع‌آوری شده شامل چه مواردی است؟

⚙️ طبق بررسی‌های یک محقق امنیت سایبری، این نقص امنیتی مربوط به باگی است که در فرآیند بررسی duplication یک حساب توییتر وجود داشته است.

👾 طبق گفته‌ی zhirinovskiy مهاجم با استفاده از این نقص می‌تواند حساب هر کاربری را تنها با شماره تلفن یا ایمیل وی پیدا کند، حتا اگر کاربر پیدا شدن از طریق دو مورد مذکور را در تنظیمات غیرفعال کرده باشد.

⚠️ این نقص امنیتی در توییتر برطرف شده اما...(+)

🌐 توصیه‌های امنیتی در خصوص این نشت داده

⭕️ سرقت نیم میلیارد دلار رمزارز با یک فایل pdf

⚠️ داستان از این قرار است که یکی از مهندسان ارشد شرکت Sky Mavis، پیشنهاد کاری بسیار جذابی در قالب یک فایل pdf دریافت می‌کند که جاسوس‌افزاری در آن پنهان بوده و بعد از دانلود، به داخل شبکه‌ی شرکت نفوذ کرده است.

💰 جالب است بدانید بازی Axie Infinity که در سال ۲۰۲۱ هفته‌ای ۲۱۵ میلیون دلار درآمد داشت، متعلق به همین شرکت است و در جریان این کلاهبرداری، چیزی نزدیک به ۵۴۰ میلیون دلار، شامل ۲۵.۵ میلیون USDC و ۱۷۳۶۰۰ عدد اتریوم از دست داد!

🔗 بازی Axie Infinity

🔑 کلاهبرداران با استفاده از بدافزار نصب شده بر شبکه‌ی شرکت، توانستند به کلیدهای خصوصیِ validatorهای شبکه، که تایید تراکنش رمزارزها توسط آنها صورت می‌گرفته، دسترسی یابند و از این طریق رمزارزها را به حساب‌های خود منتقل کنند.

🌐 واکنش Sky Mavis + توصیه‌های امنیتی

⭕️ این ۳۶ بدافزار را از دستگاه خود حذف کنید

⚠️ به‌تازگی ۳۶ بدافزار در گوگل پلی شناسایی شده که در قالب برنامه‌هایی چون ویرایشگر عکس، کیبرد مجازی و بهینه‌ساز در این فروشگاه اندرویدی منتشر شده و مجموعا بیش از ۱۰ میلیون نصب داشته‌اند.

👾 این بدافزارها متعلق به دو دسته‌ی کلی تبلیغ‌افزار و جوکر هستند و اعمال مخرب متنوعی از جمله موارد زیر را بر دستگاه قربانی اجرا می‌کنند:

> پنهان کردن آیکون یا جایگزینی آن با مولفه‌های سیستمی
> عضویت کاربر در سرویس‌های هزینه‌ای
> اجرا در پس‌زمینه و کاهش عمر باتری
> نمایش تبلیغات به‌طور آزاردهنده
> هک شبکه‌های اجتماعی قربانی
> اجرای کد مخرب
> سرقت اطلاعات

🔬 نکته‌ی قابل توجه اینکه، این برنامه‌های مخرب امکاناتی که مدعی آن هستند را دارا بوده و عملکردی درست دارند، اما در کنار این ویژگی‌ها و امکانات، اعمال مخربی را هم صورت می‌دهند.

💎 تمامی این بدافزارها توسط اپلیکیشن ضدبدافزار بیت‌بان شناسایی می‌شوند.

🌐 لیست نام بدافزارها

⭕️ جاسوسی و ضبط صفحه نمایش دستگاه کاربر در گوگل پلی

⚠️ علاوه بر ۳۶ برنامه‌ی مخربی که در پست قبلی به آنها اشاره شد، ۱۷ بدافزار دیگر نیز در گوگل پلی شناسایی شده‌اند که در قالب برنامه‌هایی چون اسکنر، پاک کننده، VPN و ضبط کننده تماس، در این فروشگاه اندرویدی منتشر، و اکنون از آن حذف شده‌اند.

👾 این برنامه‌های مخرب حاوی دراپری به نام DawDropper بوده‌اند، که با یک پایگاه داده‌ی Realtime به عنوان سرور C&C ارتباط برقرار می‌کند و پی‌لود نهایی (بدافزار Octo) را از یک ریپازیتوری در گیت‌هاب دانلود و بر دستگاه قربانی نصب می‌نماید.

⛔️ اعمال مخرب Octo

> سرقت اطلاعات (پیام‌ها، لیست مخاطبین و ...) و ارسال به سرور
> ضبط محتوای صفحه نمایش (اطلاعات بانکی، پسوردها و ...)
> سیاه کردن صفحه نمایش جهت پنهان ساختن اعمال مخرب خود

🌐 نام و آیکون بدافزارها

⭕️ پاک کننده و بهینه‌ساز باتری یا تبلیغ‌افزار گوگل پلی؟

⚠️ مجددا ۱۳ بدافزار دیگر در گوگل پلی شناسایی شده، که مجموعا بیش از ۷ میلیون نصب داشته و جزو دسته‌ی تبلیغ‌افزارها محسوب می‌شوند.

🤖 این بدافزارها که همگی در قالب برنامه‌های پاک کننده فایل‌های اضافی و بهینه‌ساز باتری مخفی شده‌اند، پس از نصب و بدون اجرا توسط کاربر، شروع به نمایش آزاردهنده و پیوسته‌ی تبلیغات کرده و سرویس‌های مخرب خود را اجرا می‌نمایند.

🎭 گفتنی است که این تبلیغ‌افزارها می‌توانند آیکون خود را مخفی نموده یا با تغییر آن به آیکون گوگل پلی یا تنظیمات دستگاه، قربانی را فریب دهند.

🎥 ویدئویی از عملکرد یکی از این بدافزارها

⛔️ مهاجمان برای افزایش نصب این بدافزارها از صفحات تبلیغاتی در فیسبوک استفاده می‌کردند و از آنجا که لینک گوگل پلی در تبلیغ بوده، کاربران با اطمینان بیشتری آنها را نصب می‌کرده‌اند.

💎 این تبلیغ‌افزارها توسط اپلیکیشن ضدبدافزار بیت‌بان شناسایی می‌شوند.

🌐 لیست بدافزارها + مشخصات و آیکون

⭕️ سرقت اطلاعات برنامه‌نویسان توسط ۴ پکیج NPM

⚠️ به‌تازگی ۴ پکیج آلوده به بدافزار در ریپازیتوری NPM شناسایی شده، که کد آنها به دو زبان پایتون و جاوااسکریپت بوده و جهت سخت کردن تحلیلْ هنگام بارگذاری در NPM، در سطح بالایی مبهم‌سازی شده‌اند.

🤖 بدافزار پایتونی این کمپین سایبری، نسخه‌ی اصلاح شده‌ی بدافزار Volt Stealer است که توکن‌های دیسکورد ماشین آلوده را سرقت می‌نماید.

👾 بدافزار جاوااسکریپتی نیز، Lofy Stealer نامیده شده و با آلوده کردن فایل‌های دیسکورد، بر فعالیت‌های قربانی نظارت می‌کند.
این بدافزار زمان لاگین کاربر، تغییرات در ایمیل و پسورد، و فعال یا غیرفعال کردن احراز هویت چندعاملی (MFA) را تشخیص می‌دهد، و می‌تواند اطلاعات کارت بانکی قربانی را نیز ضبط و سرقت نماید.

🌐 لیست نام و نسخه‌های متفاوت‌ پکیج‌های آلوده

⭕️ بازگشت کلاهبرداران پیامکی ثنا، این بار از طریق واتساپ

⚠️ سال گذشته بود که عده‌ای از مجرمان سایبری، با ارسال پیامک‌های جعلی به شهروندان، و قرار دادن لینکی مخرب در آن، که منجر به نصب یک بدافزار بانکی بر دستگاه کاربر می‌شد، حساب بانکی وی را خالی می‌کردند.

⛔️ طبق گزارش پلیس فتا، کلاهبرداران این بار از طریق واتساپ اقدام نموده‌ و با ارسال پیامی با مضمون مشاهده ابلاغیه، شکواییه و پرونده، و یک فایل apk، که نمونه‌ای از همان بدافزارهای بانکی ست، به پیامک‌های دستگاه کاربر دسترسی پیدا کرده و با هدایت وی به درگاه‌های پرداخت جعلی، و در نتیجه سرقت اطلاعات بانکی او، حساب بانکی‌اش را خالی می‌کنند.

🔗 نمونه‌ای از این پیامک‌های جعلی

👾 گفتنی ست برخی نمونه‌های این بدافزارها، قادر به ارسال همان پیام جعلی، به ۲۵۰ نفر از مخاطبین شما هستند.

🌐 ۷ هشدار و توصیه‌ی امنیتی

⭕️ هشدار به برنامه‌نویسان پایتون

⚠️ به‌تازگی ۱۰ پکیج مخرب پایتون در ریپازیتوری PYPI شناسایی شده، که در صورت نصب بر سیستم کاربر، اطلاعات و داده‌های شخصی وی را سرقت می‌کنند.

👾 اعمال مخرب پکیج‌های مخرب پایتون

> سرقت اطلاعات و پسوردهای ذخیره شده در مرورگرها
> دانلود و اجرای کدهای مخرب
> سرقت شناسه‌ها و پسوردها
> سرقت AWS credentials

🔺 این ۱۰ پکیج‌ مخرب در حال حاضر از PYPI حذف شده‌اند، اما کاربران توجه داشته باشند که در صورت نصب هریک از آنها، سریعتر به حذف‌شان، و تغییر شناسه‌ها و پسوردهای ذخیره شده‌ی خود در مرورگرها و مابقی اطلاعاتِ در معرض سرقت، اقدام نمایند.

🌐 لیست پکیج‌ها و اعمال مخرب هر کدام

⭕️ افزایش لایک و فالور اینستاگرام یا سرقت پسورد؟

⚠️ با یک جستجوی عادی در اینترنت، به تعداد زیادی اپلیکیشن می‌رسیم که ادعا می‌کنند با نصب آنها می‌توانید تعداد فالور، لایک و کامنت اینستاگرام خود را افزایش دهید و چه بسا آموزش‌هایی تصویری نیز در یوتیوب برای استفاده از آنها آماده شده باشد، اما آیا می‌توان به آنها اعتماد کرد؟

⛔️ بررسی یکی از این اپلیکیشن‌ها نشان می‌دهد که ابتدا از کاربر خواسته می‌شود شناسه و پسورد حساب کاربری اینستاگرام خود را وارد کند تا اطلاعات او با API اینستاگرام بررسی شود که ادعایی دروغ است و اطلاعات لاگین توسط مهاجم ذخیره می‌گردد.

👾 بررسی برخی دیگر از برنامه‌های سارق حساب اینستاگرام (+,+)

🤖 کارکرد بدافزار به این صورت است که کاربران قبلی که در آن ثبت‌نام کرده‌اند، توسط مهاجم، کاربران جدید را فالو می‌کنند.

🔗 کارکرد بدافزار + چند اسکرین‌شات از صفحات داخلی آن

💎 این بدافزار توسط اپلیکیشن ضدبدافزار بیت‌بان شناسایی می‌شود.

🌐 مشخصات بدافزار

⭕️ هشدار: پیامک «سلام ریحان» کلاهبرداری رمزارز است

⚠️ اخیرا پیامک‌هایی جعلی مبنی بر به‌روزرسانی حساب کاربری یک پلتفرم معاملاتی رمزارز، به برخی از کاربران ایرانی ارسال شده، که شناسه و رمز عبور ورود به پلتفرم، به همراه موجودی حساب (تقریبا ۲۰۰ هزار دلار) در آن ذکر شده است.

🤖 در ابتدا به‌نظر می‌رسد که حساب کاربری شخصی به نام «ریحان» به‌روزرسانی شده و اطلاعات ورود جدید وی، به اشتباه به شماره‌ی شما ارسال شده است.

💸 حال در صورت مراجعه و ورود به وب‌سایت جعلی usdtpky.com و اقدام به برداشت بخشی از تتر موجود در حساب، ممکن است موجودی قربانی در کیف پولی که قصد انتقال تتر از این حساب جعلی به آن را داشته‌، توسط مهاجم سرقت شود.

🔗 روش سرقت (درخواست key)

⛔️ توجــــه

توجه داشته باشید که این روش کلاهبرداری در بین کاربران ایرانی زیاد شده و مهاجمان با ارسال پیام‌های مشابه در پیام‌رسان‌های مختلف، قصد سرقت موجودی رمزارز شما را دارند.

🌐 چند نمونه از پیامک‌های جعلی + تصاویر داخلی سایت

⭕️ ۱۲ پکیج آلوده به بدافزار پایتون، دیپ لرنینگ و کانتر زدن با هکر

⚠️ ۴ روز گذشته هکری با شناسه‌ی devfather777 در PYPI، چندین پکیج آلوده در PYPI منتشر کرد، که نام آنها با روش typosquatting، مشابه نام پکیج‌های بسیار معروفی مانند tensorflow ،Flask و docutils انتخاب شده بود.

👓 به عنوان مثال نام پکیج اصلی Keras و پکیج آلوده با نام kears منتشر شده است. در این حالت احتمال بی‌توجهی کاربر به این اختلافات جزئی و نصب پکیج زیاد بوده و در نتیجه منجر به نصب بدافزار بر سیستم قربانی می‌گردد.

⛔️ هدف مهاجم
مهاجم با انتشار این پکیج‌های آلوده و نصب بدافزار بر سیستم قربانیان، سعی داشته حمله‌ای DDOS از سیستم‌های آلوده، به یکی از سرورهای بازی Counter-strike 1.6 در روسیه صورت دهد.

👾 جالب است بدانید محققی که این پکیج‌های آلوده را شناسایی کرده، از طرفداران کانتر بوده و مهاجم را به یک دست بازی تک به تک دعوت نموده، که البته هنوز پاسخی دریافت نکرده، اما در صورت پذیرش مهاجم، قرار است بازی به صورت زنده استریم شود و مهاجم در صورت باخت، حملات خود را متوقف کند.

🌐 لیست ۱۲ پکیج آلوده + زنجیره‌ی حمله

⭕️ آیا اینستاگرام و تیک‌تاک از کاربران خود جاسوسی می‌کنند؟

⚠️ طبق بررسی‌های فلیکس کروز، برخی اپلیکیشن‌ها مانند اینستاگرام، تیک‌تاک و فیسبوک، که دارای مرورگر داخلی هستند، با تزریق کد جاوااسکریپت به وب‌سایت‌های باز شده، به اطلاعات بسیار زیادی از کاربران و رفتار آنها در وب‌سایت‌های مذکور دست پیدا می‌کنند.

🔺 توجه
اکیدا توصیه می‌شود از باز کردن لینک‌ها در مرورگرهای داخلی اپلیکیشن‌ها پرهیز نمایید، چراکه جز مورد فوق، در بسیاری از حملات فیشینگ نیز، از این مرورگرها استفاده می‌شود.

⛔️ ریسک‌ها و معایب مرورگر داخلی
۱. تزریق تبلیغات به صفحات وب‌سایت‌ها
۲. ردیابی خریدهای آنلاین و اطلاعات کارت بانکی
۳. ردیابی کلیک‌ها، ورودی‌ها، موارد کپی و جایگزین شده
۴. سرقت شناسه و پسوردهای کاربر، آدرس فیزیکی و کلیدهای API

🔺 توصیه‌ها
تا جای ممکن سعی کنید از مرورگرهای اصلی خود برای باز کردن لینک‌ها استفاده کنید.
در بسیاری از موارد، تنها در صورت کلیک، لینک‌ها در مرورگر داخلی برنامه باز می‌شوند و گزینه‌ای برای باز شدن در مرورگرهای دیگر ندارند. از این رو توصیه می‌شود، لینک مورد نظر خود را کپی و آن را در مرورگر امن دستگاه باز نمایید.

⭕️ کاهش نرخ آلودگی دستگاه کاربران ایرانی به بدافزار

🤖 بر اساس گزارش کسپرسکی، ایران در فصل دوم ۲۰۲۲ نیز، بالاترین نرخ آلودگی به بدافزار در جهان را دارا بوده اما، این نرخ با روند خوبی در حال کاهش است.

📉 به‌طور دقیق‌تر، نرخ آلودگی دستگاه‌های کاربران ایرانی، از ۴۰.۲۲٪ در سال ۲۰۲۱ به ۳۵.۲۵٪ در فصل اول ۲۰۲۲ و حالا به ۲۶.۹۱٪ در فصل دوم این سال کاهش یافته است.

⚠️ تبلیغ‌افزارها همچنان بیشترین نوع از بدافزارهای نصب شده بر دستگاه کاربران ایرانی، و به‌طور عمده متعلق به دو خانواده‌ی زیر بوده‌اند:

AdWare.AndroidOS.Notifyer
AdWare.AndroidOS.Fyben

👾 تعداد نصب تروجان‌های بانکی نسبت به فصل گذشته نصف شده (۲٪) و میزان نصب باج‌افزارها، ۱٪ باقی مانده است.

🔺 اما احتمالا، اوضاع بدتر از اینهاست...

به این فکر کنید که این آمار مربوط به کاربران آنتی‌ویروس کسپرسکی است، که وجود آنتی‌ویروس بر دستگاه آنها، نشان از آگاهی نسبی‌شان به وجود بدافزارهاست.

اما در مقابل، حجم عظیمی از کاربرانی قرار می‌گیرند که به امنیت دستگاه خود و خطرهای موجود در فضای سایبری بی‌توجه‌اند و میزان آلودگی دستگاه‌هایشان در این آمارها لحاظ نمی‌شود.

⭕️ هشدار: هک آیفون، آیپاد، آیپد و مک

⚠️ به‌تازگی دو نقص امنیتی در بسیاری از محصولات اپل شناسایی شده که مهاجم در صورت استفاده از آنها می‌تواند کد مخرب مدنظرش را بر دستگاه کاربر اجرا کرده و کنترل کاملی بر آن بیابد.

👾 جزئیات این دو نقص امنیتی هنوز منتشر نشده، اما طبق اعلام اپل، به‌نظر می‌رسد برخی مهاجمان از این نقص‌ها مطلع بوده و از آنها استفاده کرده‌اند.

⚙️ در نتیجه، چنانچه دارای یکی از محصولات زیر هستید، اکیدا توصیه می‌شود دستگاه خود را به آخرین نسخه به‌روزرسانی نمایید:

> آیفون ۶ به بعد
> تمام مدل‌های آیپد پرو
> آیپد Air 2 به بعد
> آیپدهای نسل ۵ به بعد
> آیپد مینی ۴ به بعد
> آیپاد تاچ نسل ۷
> مک‌های با سیستم عامل macOS Monterey

⭕️ گوگل ترنسلیت یا بدافزار ماینر رمزارز؟

⚠️ به‌تازگی یک کمپین مخرب استخراج رمزارز شناسایی شده، که با بهینه‌سازی موتورهای جستجو در عناوینی مانند «نسخه دسکتاپ گوگل ترنسلیت» بالا آمده و از این طریق بدافزار ماینر خود را از طریق این اپلیکیشن‌ها منتشر کرده و سیستم قربانیان را آلوده می‌نمایند.

💸 برنامه در لایه‌ی اول، نسخه‌ای از گوگل ترنسلیت است که توسط CEF(chromiumembedded) توسعه داده شده و تنها یک ماه بعد از نصب است که بدافزار بر سیستم قربانی اجرا می‌شود.

👾استخراج رمزارز در این کمپین توسط ماینر معروف XMRig صورت می‌گیرد، و طبق بررسی‌ها تاکنون هزاران نفر از ۱۱ کشور مختلف، قربانی این کمپین بوده‌اند.

🧲 گفتنی است به علت چند مرحله‌ای بودن زنجیر حمله و تاخیر در اجرای بدافزار نهایی، نرخ شناسایی آن توسط آنتی‌ویروس‌ها بسیار پایین بوده و نیازمند توجه ویژه از سوی کاربران است.

⭕️ خالی کردن حساب بانکی توسط دو آنتی‌ویروس در گوگل پلی

⚠️ بدافزار Sharkbot (+ - + - + ) بار دیگر و باز هم در قالب آنتی‌ویروس و پاک‌کننده به گوگل پلی بازگشته و بیش از ۶۰ هزار دفعه نصب گرفته است.

🔰 مهاجمان در نسخه‌های قبلی این بدافزار از Accessibility permissions استفاده می‌کردند که در حال حاضر با محدودیت‌های گوگل پلی در فرآیند انتشار برنامه‌ها، گزینه‌ی مناسبی به‌نظر نمی‌رسد.

🔺در نسخه‌ی جدید Sharkbot، پس از نصب، از کاربران درخواست می‌شود برنامه را به‌روزرسانی نمایند که در صورت موافقت کاربر، بدافزار اصلی بر دستگاه وی نصب می‌شود.

👾 اعمال مخرب

۱. حمله‌ی OVerlay: باز کردن یک صفحه‌ی جعلی جهت سرقت اطلاعات ورود و ...
۲. کی‌لاگینگ
۳. دسترسی به پیامک‌های کاربر
۴. کنترل از راه دور (انجام تراکنش‌های بانکی)

💡 در حال حاضر ایرانیان جزو کاربران هدف این بدافزار نیستند، و قصد فعلی مهاجمان، سرقت از حساب بانکی قربانیان است، با این حال، امکان هرگونه تغییری در بدافزار وجود دارد و بعید نیست والت‌های رمزارز کاربران مورد هدف قرار گیرد.

⛔️ نام دو آنتی‌ویروس جعلی:

> Mister Phone Cleaner
> Kylhavy Mobile Security

⭕️ حمله به برنامه‌نویسان توسط دو هکر ایرانی

⚠️ طبق گزارش safebreach دو هکر ایرانی تروجانی را منتشر کرده‌اند که کاربران هدف آن، برنامه‌نویسان فارسی زبان بوده و در صورت نصب بر سیستم، اطلاعات بسیار زیادی را از قربانی سرقت می‌کند.

👾 حمله با یک فایل مخرب ورد آغاز می‌شده، که محتوای آن به فارسی و در مورد زبان‌های طراحی سخت‌افزار مانند VHDL و Verilog بوده است.

🔰 مهاجم با استفاده از اکسپلویت DDE کدی مخرب را داخل یک ماکرو قرار داده که پس از باز شدن فایل، اجرا شده و تروجان CodeRAT از ریپازیتوری گیت‌هاب وی، بر سیستم قربانی دانلود و اجرا می‌شود.

🔸 این تروجان نزدیک به ۵۰ دستور را پشتیبانی می‌کند و نظارت نسبتا کاملی بر طیف گسترده‌ای از برنامه‌های کاربر از جمله موارد زیر پیدا می‌کند:

۱. شبکه‌های اجتماعی مانند تلگرام، واتساپ و اینستاگرام
۲. چندین IDE مانند Visual Studio
۳. دیجی‌کالا و ایتا
۴. پایگاه داده‌ها مانند SQL server و Sqlite
۵. ماشین‌های مجازی Vmware
۶. بازی‌ها مانند Epic Games و Blizzard
۷. جیمیل، یاهو و Outlook

🔺 گفتنی است که در این حمله از Telegram Bot API به عنوان سرور C2 استفاده شده است.

⭕️ بازی‌های آلوده به بدافزار

⚠️ بر اساس گزارش کسپرسکی، در یک سال گذشته، بیش از ۳۸۰ هزار کاربر بازی‌های کامپیوتری و موبایلی، توسط ۹۲ هزار فایل آلوده به بدافزار مورد تهدید قرار گرفته‌اند.

👾 لیست ۵ بازی که بیشترین تهدیدات در قالب آنها صورت گرفته:

🖥 کامپیوتری

> Minecraft
> Roblox
> Need for Speed
> Grand Theft Auto
> Call of Duty

📱 موبایلی

> Minecraft
> Roblox
> Grand Theft Auto
> PUBG 
> FIFA

🤖 انواع بدافزارها

🐴 تروجان (PSW - Banker - GameThief)
این تروجان‌ها به ترتیب، به سرقت اطلاعات کاربران، خالی کردن حساب بانکی آنان و جمع‌آوری اطلاعات ورود حساب کاربری‌شان در بازی‌ها می‌پردازند.
در یک سال گذشته، بیش از ۳۷۰۰ تروجان شناسایی شده که سیستم نزدیک به ۶۵۰۰ کاربر را آلوده کرده‌اند.

💰 ماینر
تعداد ۱۳۶۷ فایل مخرب ماینر شناسایی شده که سیستم بیش از ۳۳۰۰ کاربر را آلوده و از منابع آن جهت استخراج رمزارز سوءاستفاده کرده‌اند.

🦊 چیت
تعداد ۳۱۵۴ برنامه مربوط به چیت در بازی‌ها شناسایی شده، که سیستم بیش از ۱۳ هزار کاربر را آلوده کرده و به جای کمک به آنها، عملکرد سیستم‌شان را کند یا اطلاعات‌شان را سرقت کرده‌اند.

⭕️ برچسب «کلاهبرداری» کنار بات‌های تلگرام

⚠️ مدتی است که در کنار برخی حساب‌های کاربری و بات‌های تلگرام، برچسب «کلاهبرداری» قرار گرفته است.

⛔️ قرار دادن این برچسب توسط تلگرام، بر اساس گزارش دیگر کاربرانی است که با آن حساب یا بات مشکوک، به آن‌ها پیام داده شده است.

🔹 به‌نظر می‌رسد این برچسب‌زنی، نتیجه‌ی تحلیل مستقیم تلگرام از آن حساب نیست، چراکه در این صورت می‌توانست به جای هشدار در مورد جعلی بودن یک حساب، آن را مسدود یا محدود نماید.

👾 به‌طور مشخص، چنانچه کاربران دیگری، حساب را کلاهبرداری یا جعلی تشخیص داده و آن را ریپورت نمایند، تلگرام آن را برچسب زده و پیام هشداری حاوی آنچه گفته شد، به کاربر نمایش می‌دهد.

🛡 این قابلیت تلگرام، می‌تواند تاثیر زیادی در جلوگیری از حملات فیشینگ، انتشار لینک‌های مخرب و بدافزار در این پیام‌رسان داشته باشد.