تروجان ExoBot

امتیاز کاربران

ستاره غیر فعالستاره غیر فعالستاره غیر فعالستاره غیر فعالستاره غیر فعال
 

تروجان ExoBot
q952
پس از نشت کد منبع تروجان بانکی اندرويدی ExoBot، پژوهشگران IBM X-Force ویژگی‌های مختلف این بدافزار را مورد بررسی قرار دادند. ExoBot يک بدافزار اندرويدی است که بر پايه کد Marcher توسعه داده شده است. اين کد يک تروجان بانکی را ارائه می‌دهد که از تکنيک overlay استفاده می‌کند. در تکنيک overlay يک صفحه جعلی به جای برنامه اصلی برای کاربر نمايش داده می‌شود و به وسیله آن جزئيات حساب‌های کاربر دزديده می‌شود. همچنين اين بدافزار می‌تواند پيام‌های SMS و گزارش تماس‌ها را به سرقت ببرد. در نتيجه مجرمان قادر هستند به حساب‌های کاربری بانکی و ساير اطلاعات مالی قربانيان دسترسی داشته باشند.
برخی از قابليت‌هايی که ExoBot در اختيار کلاهبرداران قرار می‌دهد شامل بدست آوردن اختيارات ادمين، بالا آوردن صفحه‌هایoverlay، دسترسی به SMS و ساير اطلاعات از دستگاه آلوده است.
ExoBot در بيشتر مواقع از طریق SMS و يا برنامه‌های دانلود شده در دستگاه‌های جديد انتشار می‌يابد. زمانی که ExoBot برای نخستین بار بر روی دستگاه اجرا می‌شود، آيکون برنامه را از روی صفحه اصلی پاک می‌کند، تمامی برنامه‌های در حال اجرا را minimize کرده و صفحه جديدی به کاربر نشان می‌دهد که کاربر متوجه نخواهد شد که صفحه جديدی به او نشان داده شده است.
برای اينکه ExoBot از منابعش محافظت کند، توسعه‌دهندگان آن از دو تکنيک مبهم‌سازی استفاده می‌کنند:
۱. حفاظت رشته
۲. استاندارد رمزنگاری پيشرفته (AES)

ليست ماژول‌های ExoBot در جدول زیر ارائه شده است:

q953

مقدار Hash برخی نمونه‌های مشاهده شده ExoBot شامل موارد زير است:
•  ۴۲۷۵۱۸۵۸e۹۹b۷add۲f۴ac۹e۰۰e۳۴۸d۴۰ 
•  ۲۸۵۱۹۷e۳۹۰۷۲bda۵۶۳ccebc۰fba۷۸۶۴۸ 
•  ۸۰b۵۸۲۱c۷f۱۶۴۹b۱۷۶۳۸۱efaadb۹۰f۶۸ 
•  f۱ad۳۵e۹۱b۴۵b۵۳۷۵e۰۸۶۶۶b۳۹ca۷۹۱b 
•  ۳ff۹fadb۸۷۸۱۲۵۷۱f۷۹۹a۳۵c۱۳d۸۴۹۰c 

منبع:
/https://securityintelligence.com/ibm-x-force-delves-into-exobots-leaked-source-code

منبع: مرکز مدیریت راهبردی افتا ریاست جمهوری