پرش به محتوای اصلی

تروجان روتکسی (Rotexy Trojan)، یک صراف حیله گر


تروجان روتکسی (Rotexy Trojan)، یک صراف حیله گر

با افزایش استفاده از موبایل ها و دسترسی آسان و ارزان به اینترنت از طریق آنها، روزانه کاربران بسیار زیادی عملیات بانکی شخصی و شرکتی خود را به صورت آنلاین و از طریق گوشی های هوشمند انجام می دهند. این مسأله باعث شده است که کلاهبرداران سایبری با استفاده از بدافزارها و تروجان های مخصوص به سیستم های موبایلی کاربران در سرتاسر جهان نفوذ کرده و از محبوبیت گوشی های هوشمند به نفع خود سود ببرند.


اخیراً یک بدافزار اندرویدی به نام تروجان روتکسی (Rotexy Trojan) به صورت ترکیبی از یک تروجان بانکی و یک باج افزار مسدود کننده گسترش یافته است. به طوری که محققان در ماه های آگوست و سپتامبر امسال با بیش از 40.000 حمله این اپلیکشین مخرب به سیستم های اندرویدی مواجه شده اند. از آنجایی که روتکسی همچنان در حال گسترش در سرتاسر جهان است بر خود واجب دانستیم نحوه عملیات این تروجان و روش های محافظت از گوشی های هوشمند در برابر آن را با شما در میان بگذاریم.


نحوه عملیات تروجان روتکسی 
تروجان روتکسی از طریق اس ام اس گسترش می یابد. این اس ام اس حاوی یک لینک دانلود اپلیکیشن و متنی جذاب برای تحریک کاربر و کلیک بر روی لینک و دانلود برنامه می باشد. در بعضی موارد تظاهر می شود که این اس ام اس از طرف یک دوست برای قربانی ارسال شده است. این امر یکی از دلایلی است که باعث می شود قربانیان فریب خورده و بر روی لینک دانلود کلیک نمایند.


این تروجان پس از نفوذ به موبایل، محیط آن را برای ادامه عملیات بررسی می کند. از آنجایی که گاهی اوقات محققان برای شناسایی تهدیدات سایبری از برنامه های شبیه ساز استفاده می کنند روتکسی ابتدا نوع وسیله ای که بر روی آن قرار گرفته است را بررسی می کند. اگر این تروجان تشخیص بدهد که به جای یک گوشی هوشمند واقعی بر روی یک برنامه شبیه ساز قرار گرفته است، با اینکه همچنان در پس زمینه در حال اجراست اما برای جلوگیری از شناسایی توسط محققان موقتاً عملیات خود را متوقف می کند. همچنین مشابه این امر زمانی اتفاق می افتد که وسیله خارج از کشور روسیه باشد. زیرا این تروجان عمدتاً کاربران روسی را هدف حمله قرار می دهد.


روتکسی پس از اطمینان از اینکه سیستم تمامی ملزومات اولیه را داراست با درخواست دسترسی به تمامی بخش های مدیریتی فعالیت خود را آغاز می کند. به صورت تئوری کاربر می تواند این اجازه را به اپلیکیشن ندهد اما درخواست به صورت مداوم ظاهر شده و ادامه فعالیت با موبایل را مختل می کند. این تروجان جهت تأثیرگذاری بیشتر در پیامی به کاربر اعلام می کند که اپلیکیشن به درستی بارگذاری نشده و آیکون مربوط به آن را از دید صاحب موبایل پنهان می کند.


پس از دریافت مجوز کنترل سیستم، بدافزار با کلاهبرداران ارتباط برقرار کرده و اطلاعات موبایل را در اختیار آنها قرار می دهد. سپس کلاهبرداران تعدادی دستورالعمل، قالب وب سایت (تمپلیت) و متن را برای بدافزار ارسال می کنند. به صورت پیش فرض، روتکسی مستقیماً با سرور C&C یا همان سرور کنترل-فرمان ارتباط برقرار می کند اما سازندگان آن روش های مختلفی را پیاده سازی کرده اند تا بتوانند دستورات خود را به وسیله Google Cloud Messaging و اس ام اس ارسال نمایند.


روتکسی، یک سارق اس ام اسی
یکی از رایج ترین روش های نفوذ تروجان روتکسی استفاده از سیستم پیام رسانی موبایل است. وقتی یک پیامک به گوشی قربانی ارسال می شود بدافزار تنظیمات دریافت پیامک را به حالت بی صدا تغییر می دهد تا قربانی متوجه پیامک جدید نشود. سپس تروجان شروع به استراق سمع کرده و سیستم پیام رسانی را برای یافتن اطلاعات محرمانه و قابل سرقت (مثل ارقام آخر شماره کارت هایی که در پیامک های بانکی به مشتریان ارسال می شود) در برابر قالب های دریافت شده از سرور کنترل-فرمان بررسی می کند. سپس اطلاعات مفید را ذخیره کرده و به سرور ارسال می کند. علاوه بر این، تروجان روتکسی می تواند به اس ام اس های قربانی پاسخ دهد. متن این پاسخ ها جهت استفاده احتمالی در آینده درون قالب نگهداری می شود.


اگر به دلایلی هیچ قالب یا دستورالعملی از طریق سرور کنترل-فرمان برای بدافزار ارسال نشود، روتکسی فقط کلیه مکاتبات موبایل آلوده شده را ذخیره کرده و برای کلاهبرداران ارسال می کند. از طرف دیگر این بدافزار می تواند با دستور مجرمان سایبری لینک دانلود اپلیکیشن آلوده را در قالب یک اس ام اس به لیست مخاطبین موجود در تلفن قربانی ارسال کند. این فرایند یکی از روش های اصلی گسترش تروجان روتکسی میان کاربران اندرویدی است.


روتکسی، یک تروجان بانکی
استفاده از اس ام اس فقط یکی از چندین سناریوی سرقت اطلاعات حساب های بانکی به وسیله تروجان روتکسی است. در سناریوی دیگری یک صفحه فیشینگ بر روی صفحه نمایش موبایل قربانی ظاهر شده و به همراه آن اس ام اسی حاوی دستورالعمل های استراق سمع ارسال می شود. ممکن است ظاهر صفحه فیشینگ از عملیاتی به عملیات دیگر متفاوت باشد اما هدف کلی این است که قربانیان گمان کنند پولی در حال انتقال به حسابشان است و آنها برای دریافت این پول باید اطلاعات حساب بانکی خود را در صفحه وارد نمایند.


سازندگان این بدافزار جهت اطمینان قربانی از صحت موضوع شماره کارت وارد شده را اعتبار سنجی می کنند. به این صورت که بدافزار در ابتدای عملیات اعتبار شماره کارت را تأیید می کند (بهتر است بدانید که ارقام کارت های بانکی رندوم نبوده و با استفاده از قواعد معینی ایجاد شده اند). سپس روتکسی چهار رقم آخر شماره کارت را از اس ام اس های بانکی قربانی استخراج می کند و آنها را با ارقامی که قبلاً در صفحه فیشینگ وارد شده است مطابقت می دهد. اگر ارقام درست نباشند یک پیغام خطا روی صفحه ظاهر شده و از قربانی خواسته می شود که شماره کارت صحیح را وارد نماید.


روتکسی، یک باج افزار
گاهی اوقات روتکسی دستورالعمل دیگری از سرور C&C دریافت کرده و سناریوی جدیدی را اجرا می کند. در این سناریو به جای یک صفحه فیشینگ، صفحه نمایش موبایل با تصویری حاوی یک پیام تهدید آمیز مسدود شده و از قربانی خواسته می شود به دلیل "تماشای دائمی ویدیوهای غیر مجاز" جریمه بپردازد. همچنین "شواهد" به شکل تصاویری از یک کلیپ غیر اخلاقی در داخل فرمی به پیام ضمیمه می شود.

باج افزار روتکسی

روتکسی عملیات آپدیت سیستم را شبیه سازی کرده و سپس صفحه نمایش موبایل را با پیام درخواست پرداخت جریمه به دلیل " تماشای دائمی ویدیوهای غیر مجاز" مسدود می کند.


معمولاً در این نوع عملیات باج افزاری مجرمان سایبری وانمود می کنند که از طرف مقامات رسمی هستند. مثلاً روتکسی در زمان حمله به کاربران روسی به طور خاص خود را از طرف دپارتمان "کنترل اینترنت FSB" معرفی می کند. در حالی که دپارتمانی با این نام اصلاً در روسیه وجود ندارد.


نحوه رفع انسداد موبایل های آلوده به تروجان روتکسی
خبر خوب این است که رفع انسداد یک موبایل آلوده و از بین بردن "ویروس روتکسی" بدون نیاز به کمک متخصصان امکان پذیر است. همانطور که قبلاً ذکر شد روتکسی از طریق اس ام اس فرمان کلاهبرداران را دریافت کرده و اجرا می کند. نکته اینجاست که لزومی ندارد اس ام اس حتماً از شماره خاصی به موبایل قربانی ارسال شود. بنابراین اگر موبایل شما با تروجان روتکسی مسدود شود به طوری که دیگر نتوانید صفحه مخرب را ببندید تنها کاری که باید انجام دهید این است که به وسیله یک موبایل دیگر (مثلاً موبایل دوستتان) دستورالعمل های زیر را به ترتیب اجرا کنید:
1- ابتدا عدد "393838" را در یک اس ام اس به موبایل خود بفرستید. بدافزار این پیام را به صورت فرمانی برای حذف آدرس سرور C&C از طرف کلاهبرداران تفسیر کرده و عملیات خود را متوقف خواهد کرد. 
2- سپس عدد "3458" را به شماره خود ارسال نمایید. به این ترتیب دسترسی مدیریتی وسیله از کنترل بدافزار خارج می شود.
3- در آخر یک پیام با متن "stop_blocker" را به گوشی خود ارسال کنید. با این دستور، روتکسی صفحه سایت یا بنری که صفحه نمایش موبایل شما را مسدود کرده بود حذف می کند. 
4- اگر بعد از آن دوباره پیام درخواست مجوز دسترسی مدیریتی روی صفحه ظاهر شد دستگاه خود را ری استارت کرده و در حالت Safe Mode قرار دهید (نحوه فعال کردن حالت Safe Mode در موبایل های اندرویدی). سپس با توجه به نسخه اندروید مورد استفاده در سیستم خود در بخش مدیر برنامه (Application Manager) و یا برنامه ها و اطلاعیه ها (Applications And Notifications) اپلیکیشن آلوده را به سادگی از موبایلتان حذف نمایید.


توجه داشته باشید که دستورالعمل بالا بر اساس تجزیه و تحلیل متخصصان بر روی نسخه فعلی تروجان Rotexy ارائه شده و ممکن است دستورالعمل های رفع انسداد گوشی های هوشمند در نسخه های بعدی متفاوت باشد.


نحوه محافظت از موبایل در برابر تروجان روتکسی و سایر تروجان های مربوط به موبایل
1- هرگز بر روی لینک های مشکوک درون اس ام اس ها کلیک نکنید (حتی اگر کنجکاو هستید و یا به نظر می رسد پیام از طرف یکی از دوستانتان فرستاده شده است). حتماً قبل از کلیک بررسی کنید که اس ام اس واقعاً از طرف همان شخص برای شما ارسال شده باشد. 
2- اپلیکیشن های اندرویدی را از سرویس های معتبر نظیر Google Play و یا برنامه بازار دانلود نمایید. بهترین راه این است که در تنظیمات گوشی امکان "دانلود برنامه از طریق منابع ناشناخته" را غیر فعال کنید.
3- از یک آنتی ویروس قدرتمند برای محافظت از موبایل خود در برابر بدافزارها و تهدیدات مخرب استفاده نمایید تا حتی اگر تصادفاً وارد یک لینک یا فایل مشکوک شدید باز هم امکان نفوذ کلاهبرداران فراهم نباشد.

 

این مورد قابل اعتماد ترین راه حلی است که تا به امروز توسط متخصصان امنیتی ارائه شده است. چقدر از وجود این آنتی ویروس ها و قابلیت های بیشمار آنها برای محافظت از گوشی های موبایل خود آگاهی دارید؟ بهتر است تا دیر نشده اطلاعات خود را درباره آنها افزایش دهید.


همان طور که می دانید اولین برنامه ای که باید قبل از هر گونه فعالیت با سیستم عامل کامپیوتر بر روی آن نصب شود یک آنتی ویروس قدرتمند برای جلوگیری از نفود ویروس و سایر خطرات سایبری است. سیستم عامل موبایل نیز از این قاعده مستثنی نیست! اگر قصد دارید از اپلیکیشن های مخصوص هر بانک جهت نقل و انتقالات پولی استفاده کنید و یا کلیه تراکنش های بانکی روزانه از طریق پیامک برایتان ارسال می شود حتماً یک ویروس کش قابل اعتماد و تا حد ممکن اورجینال در گوشی خود نصب نمایید. از پرطرفدار ترین و کاربردی ترین آنتی ویروس های مخصوص موبایل آنتی ویروس نود 32 ESET Mobile Security for Android و آنتی ویروس کسپرسکی Kaspersky Internet Security for Android می باشند.


این آنتی ویروس های اندرویدی در کنار ده ها ویژگی منحصر به فرد خود دارای قابلیت هایی نظیر ضد بدافزار، ضد تروجان و ضد فیشینگ بوده و جهت حفظ امنیت سیستم عامل اندرویدی موبایل ها و تبلت ها ایجاد شده اند. شما می توانید همین امروز نسخه اورجینال این آنتی ویروس ها را از فروشگاه اینترنتی ایده ارتباط تراشه با بهینه ترین قیمت ها و یک سال پشتیبانی رایگان تهیه نموده و به کلیه قابلیت هایی که برای محافظت از یک موبایل و اطلاعات موجود در آن در مقابل تروجان ها، باج افزارها و حملات فیشینگ نیاز است دسترسی داشته باشید. 

تاریخ ارسال :1397/09/07
منبع خبری :ایده ارتباط تراشه
newsآخرین مطالب

عضویت در خبرنامه
security_code
Logo-Samandehi Logo-Enamad