شناسایی تروجان‌های اندرویدی BankBot-YNRK و DeliveryRAT که داده‌های مالی را سرقت می‌کنند

محققان امنیت سایبری، دو تروجان اندرویدی مختلف به نام‌های BankBot-YNRK و DeliveryRAT را شناسایی کرده‌اند که قادر به جمع‌آوری داده‌های حساس از دستگاه‌های آسیب‌‌پذیر هستند.

طبق گزارش CYFIRMA که سه نمونه مختلف از BankBot-YNRK را تجزیه و تحلیل کرده، این بدافزار دارای ویژگی‌هایی برای جلوگیری از تلاش‌های تجزیه و تحلیل است، به این صورت که ابتدا عملکرد خود را در یک محیط مجازی یا شبیه‌سازی شده بررسی و سپس جزئیات دستگاه مانند سازنده و نام مدل را استخراج می‌کند تا مشخص شود که آیا روی یک دستگاه واقعی اجرا می‌شود یا خیر. BankBot-YNRK همچنین بررسی می‌کند که آیا دستگاه توسط Oppo تولید شده است یا روی ColorOS، نسخه‌ای از سیستم عامل اندروید که در دستگاه‌های ساخته شده توسط سازنده تجهیزات اصلی چینی (OEM) استفاده می‌گردد، اجرا می‌شود. CYFIRMA گفت: این بدافزار همچنین شامل منطقی برای شناسایی دستگاه‌های خاص است. این برنامه تأیید می‌کند که آیا دستگاه گوگل پیکسل است یا سامسونگ و آیا مدل آن در یک لیست از پیش تعریف‌شده از مدل‌های شناخته‌شده یا پشتیبانی‌شده قرار دارد یا خیر. این به بدافزار اجازه می‌دهد تا عملکرد یا بهینه‌سازی‌های خاص دستگاه را فقط روی دستگاه‌های هدف اعمال کند و از اجرا روی مدل‌های ناشناخته اجتناب کند.

پس از نصب، برنامه‌های مخرب برای جمع‌آوری اطلاعات دستگاه و تنظیم میزان صدای جریان‌های صوتی مختلف مانند موسیقی، آهنگ زنگ و اعلان‌ها، روی صفر طراحی شده‌اند تا از هشدار به قربانی آسیب‌‌پذیر در مورد تماس‌های دریافتی، پیام‌ها و سایر اعلان‌های درون برنامه جلوگیری شود. همچنین با یک سرور از راه دور ارتباط برقرار می‌کند و پس از دریافت دستور “OPEN_ACCESSIBILITY“، کاربر را ترغیب به فعال‌سازی تا سرویس‌های دسترسی را فعال کند تا به اهداف خود از جمله کسب دسترسی‌های بالا و انجام اقدامات مخرب دست یابد. با این حال، این بدافزار قادر است صرفا دستگاه‌های اندرویدی دارای نسخه ۱۳ و پایین‌تر را هدف قرار دهد، زیرا اندروید ۱۴ که در اواخر سال ۲۰۲۳ منتشر شد، ویژگی امنیتی جدیدی را معرفی کرد که مانع از استفاده از سرویس‌های دسترسی برای درخواست یا اعطای خودکار مجوزهای اضافی به برنامه‌ها می‌شود. BankBot-YNRK از سرویس JobScheduler اندروید برای ایجاد پایداری در دستگاه و اطمینان از راه‌اندازی آن پس از راه‌اندازی مجدد استفاده می‌کند. همچنین از طیف گسترده‌ای از دستورات برای به دست آوردن دسترسی‌های مدیریتی دستگاه، مدیریت برنامه‌ها، تعامل با دستگاه، هدایت تماس‌های ورودی با استفاده از کدهای MMI، گرفتن عکس، انجام عملیات روی فایل‌ها و جمع‌آوری مخاطبین، پیامک‌ها، مکان‌ها، لیست برنامه‌های نصب شده و محتوای کلیپ‌بورد پشتیبانی می‌کند.

https://thehackernews.com/2025/11/researchers-uncover-bankbot-ynrk-and.html