یک حمله سایبری بزرگ از مبدا ترکیه رخ داده است/ سرقت اطلاعات بانکی از هزاران گوشی

تینا مزدکی_در اواخر آگوست ۲۰۲۵، محققان امنیتی تیم اطلاعات تهدیدات Cleafy موفق به کشف کلوپاترا (Klopatra) شدند که یک بدافزار جدید برای دسترسی از راه دور به اندروید (RAT) از نوع تروجان است. بر اساس داده‌های ارائه‌شده توسط محققان، این بدافزار که در حال حاضر در کشورهای اسپانیا و ایتالیا فعال است، از زمان آغاز حملات در ماه مارس ۲۰۲۵، بیش از ۳۰۰۰ دستگاه را از طریق دو شبکه بات‌نت هماهنگ‌شده آلوده کرده است.

جعل هویت یک اپلیکیشن تلویزیون

حمله‌کنندگان کاربرانی را هدف قرار می‌دهند که به‌دنبال اپلیکیشن‌های پخش آنلاین تلویزیون غیرقانونی هستند. این بدافزار خود را در قالب یک برنامه IPTV با نام «Mobdro Pro IP TV + VPN» جا می‌زند. از آنجا که این نوع اپلیکیشن‌ها در فروشگاه گوگل پلی مجاز نیستند، فریب دادن کاربران برای دانلود آن‌ها از منابع ناشناس آسان‌تر است. پس از نصب، برنامه کاربر را متقاعد می‌کند تا مجوزهای دسترسی حیاتی دستگاه را بدهد. برای رسیدن به این هدف، اپلیکیشن یک رابط کاربری ساده با دکمه‌ای که از کاربران می‌خواهد «ادامه نصب» را انتخاب کنند، نمایش می‌دهد. لمس این دکمه کاربر را به تنظیمات سیستمی اندروید هدایت کرده و به او دستور می‌دهد که مجوز لازم را اعطا کند.

بدافزار به حساب‌های بانکی حمله می‌کند

پس از فعال شدن، این تروجان هم به عنوان یک بدافزار بانکی و هم یک ابزار دسترسی از راه دور عمل می‌کند. این بدافزار می‌تواند با استفاده از قابلیت VNC (رایانش شبکه‌ای مجازی)، که به حمله‌کنندگان اجازه می‌دهد دستگاه آلوده را به‌صورت لحظه‌ای کنترل کنند، کنترل کامل گوشی آلوده را به دست گیرد. حمله‌کننده می‌تواند بدون اینکه قربانی متوجه چیز مشکوکی شود، به برنامه‌های مختلف برود، پین‌ها و رمزهای عبور را وارد کند و تراکنش‌های مالی انجام دهد.

تحلیل فنی بدافزار، نشان‌دهنده سطح پیچیدگی بالا در آن است. توسعه‌دهندگان برای محافظت از تروجان در برابر شناسایی شدن، Virbox را در کد آن ادغام کرده‌اند؛ Virbox یک مجموعه محافظت از کد در سطح تجاری است که به‌ندرت در بدافزارهای موبایلی دیده می‌شود. به‌جای استفاده از کد استاندارد جاوا (Java)، حمله‌کنندگان از Native Libraries استفاده کرده‌اند که یک لایه دفاعی دیگر در برابر مهندسی معکوس و ابزارهای تحلیل خودکار ایجاد می‌کند.

محققان Cleafy با تحلیل نمونه‌های بدافزار، به این نتیجه رسیده‌اند که عامل تهدید پشت این بدافزار از ترکیه‌ است. یادداشت‌های عملیاتی که در کد کشف شده، نشان می‌دهد که این عامل تهدید نه‌تنها بدافزار را توسعه داده، بلکه کل زنجیره حمله، از آلوده‌سازی تا تبدیل به پول نقد (سودآوری) را نیز مدیریت می‌کند. محققان در گزارش خود نوشتند: «کلوپاترا یک تهدید جدی و پیچیده برای بخش مالی و کاربران دستگاه‌های همراه، به‌ویژه در اروپا، محسوب می‌شود.»

با ردیابی فعالیت‌های کلوپاترا طی ماه‌های اخیر، Cleafy بیش از ۴۰ نسخه ساخت (Build) متمایز را در حال گردش شناسایی کرده است که نشان‌دهنده یک چرخه توسعه سریع است. محققان بر این باورند سرعت عملی که چرخه توسعه سریع این بدافزار نشان می‌دهد که گردانندگان آن همچنان به اصلاح تکنیک‌ها، تاکتیک‌ها و رویه‌های خود، گسترش لیست اهداف و ادغام روش‌های جدید برای دور زدن سیستم‌های امنیتی ادامه خواهند داد تا یک قدم جلوتر از متخصصان امنیت باشند.

منبع: cybernews

۵۸۳۲۳