TƏHLÜKƏSİZLİK

SfyLabs şirkətinin mütəxəssisləri  son aylarda darknetdə reklam edilməyə başlayan və cəmi  500 dollara  icarəyə verilən, yeni  bank troyanı  Red Alert  2.0-nin aşkarlanması barədə danışıblar.

Xeberler.az cert.gov.az-a istinadən məlumat  verir ki, tədqiqatçılar yazırlar ki, ilk dəfə, virusun reklamına ötən yay çox dinlənilən rusdilli forumda  diqqət yetiriblər.

SfyLabs tədqiqatçılarının  məlumatına görə, Red Alert 2.0 Google Play-ə  qədər gəlib çatmayıb və kənar kataloq tədbiqetmələrin vasitəsilə yayılır. Troyan  Flash Player,  Google Market və hətta Android sistemli yeniliklərin adı altında, həmçinin Whatsapp və Viber rəsmi versiyası adı altında  maskalanır. İlk baxışdan banker digər buna bənzər təhlükələrdən az fərqlənir. İstifadəçi bank və ya sosial şəbəkə üçün tədbiqetməyə müraciət etməyənə qədər troyan fəaliyyətsiz qalır. Bundan sonra virus saxta xəta nümayiş etdirir  və qurbanın uçot məlumatlarını təkrarən qeyd etməyə məcbur edir. Beləliklə toplanan məlumatlar cinayətkarların əsas idarəedici serverinə ötürülür.

Bankerin daha bir maraqlı xüsusiyyəti də odur  ki, iş qabiliyyətini itirməsindən qaçmaq üçün o, Twitter-ə ümid edir. Belə ki, əgər idarəedici server  hansısa səbəbdən bloklaşdırılsa və yaxud ünvanı dəyişdirilsə,  zərərli qurğu yeni ünvan əldə etmək üçün Twitter-akkaunta müraciət edir.

Sfylabs mütəxəssisləri   hesab edirlər ki,  Red Alert 2.0 - bu cür funksionallı  ilk mobil bankerdir. Adətən belə üsulları həqiqətən Windows troyanı istifadə etsə də, Android üçün təhlükəli olmur. Sərt kodlaşdırılmış C&C -serverinə müraciət zamanı xəta yarandığı təqdirdə,  troyan  yeni MD5 xeşinın  yaradılması üçün hazırki  tarix və strings.xml  faylından  salt - dan  ibarət kombinasiyasını  istifadə edir. Xeşin ilk 16 simvolu  Twitterdə nikneymdir (məsələn, d8585cf920cb893a və 9/18/2017)  və idarəedici server yeni ünvanı almaq üçün bot bu səhifəni pars edir.

Tədqiqatçıların məlumatına görə, hazırda banker  6.0 versiyasına qədər Android üzərində işləyir, onun müəllifi isə troyanı daim təkmilləşdirir.