کمپین گسترده بدافزار اندروید؛ چگونه TrustBastion دستگاه‌ها را هدف می‌گیرد

نحوه عملکرد کمپین

کمپین مذکور با انتشار برنامه‌ای جعلی به نام TrustBastion آغاز شد؛ این برنامه به کاربران وعده حفاظت در برابر ویروس‌ها و بدافزارها را می‌دهد. برنامه با بهره‌گیری از مهندسی اجتماعی کاربران را با پیام‌های هشداردهنده‌ای فریب می‌دهد که ادعا می‌کنند دستگاهشان آلوده شده است و آن‌ها را ترغیب می‌کند برای مقابله با تهدید، برنامه را نصب کنند.

پس از نصب، برنامه کاربر را به دانلود به‌روزرسانی هدایت می‌کند که ظاهری شبیه Google Play یا آپدیت‌های سیستم دارد. در واقع، این به‌روزرسانی یک فایل مخرب را از مخزن Hugging Face دریافت می‌کند، به گونه‌ای که احتمال شناسایی توسط سیستم‌های امنیتی سنتی کاهش می‌یابد.
 

میلیون‌ها نسخه مخرب

کارشناسان اعلام کرده‌اند که مهاجمان در کمتر از یک ماه بیش از ۶۰۰۰ نسخه مختلف از این بدافزار را منتشر کرده‌اند. فایل‌های دانلود شده باعث نصب بدافزاری می‌شوند که امکان دسترسی از راه دور به دستگاه‌های اندرویدی را فراهم می‌کند. پس از اعطای مجوزهای خاص، مانند سرویس‌های دسترسی، مهاجمان کنترل کامل دستگاه را در اختیار می‌گیرند.

در صورت اعطای مجوزهای ویژه، بدافزار می‌تواند طیف گسترده‌ای از عملکردهای خطرناک را اجرا کند، از جمله:

•  ضبط لحظه‌ای صفحه نمایش
•  عکس گرفتن از صفحه
•  قفل کردن تلفن
•  نمایش صفحات ورود جعلی برای سرویس‌های مالی محبوب مانند Alipay و WeChat

این قابلیت‌ها به مهاجمان امکان می‌دهد داده‌های کاربران را سرقت کرده و در برخی موارد کنترل کامل دستگاه را به دست آورند.
 

توصیه‌های ایمنی

پس از اطلاع‌رسانی کارشناسان به پلتفرم Hugging Face، مخازن مخرب حذف شدند؛ اما این فایل‌ها بلافاصله با نام‌های جدید و همان کد مخرب بازنشر شدند، که نشان‌دهنده ادامه تهدید به دلیل اقدامات احتیاطی ناکافی است.

کارشناسان امنیت سایبری توصیه می‌کنند:

•  برنامه‌ها را تنها از فروشگاه‌های رسمی و معتبر مانند گوگل پلی دانلود کنید.
•  از منابع نامعتبر و فروشگاه‌های غیررسمی پرهیز کنید.
•  دستگاه خود را به‌صورت منظم با ابزارهای امنیتی اسکن کنید.
•  از اعطای مجوزهای غیرضروری، به‌ویژه سرویس‌های دسترسی، خودداری کنید.

با رعایت این نکات، کاربران می‌توانند تا حد زیادی از تهدیدهای بدافزاری و دسترسی غیرمجاز به اطلاعات شخصی خود جلوگیری کنند.