⭕️ ۸ بسته‌ی آلوده به بدافزار در پایتون

⚠️ اخیرا ۸ پکیج پایتون مورد حمله بدافزاری قرار گرفته‌اند و پس از بارگذاری در ریپازیتوری PyPI بیش از ۳۰ هزار دفعه دانلود شده‌اند.

🔒در این پکیج‌های آلوده، از دو روش زیر جهت مبهم‌سازی کدها استفاده شده، تا روش‌های تحلیل استاتیک نتواند مخرب بودن آنها را تشخیص دهد:

> رمزگذاری متن با Base64
> استفاده از تابع eval جهت ارزیابی متن رمزگشایی شده

💣 اعمال مخرب این بسته‌های آلوده به بدافزار به شرح زیر است:

‍۱. سرقت توکن‌های احراز هویت Discord
۲. سرقت اطلاعات کارت‌های اعتباری
۳.سرقت پسوردها
۴. جمع‌آوری اطلاعات سیستم
(شامل آدرس آی‌پی، شناسه، مشخصات سیستم، اسکرین‌شات با استفاده از Pillow)

⛔️ بسته‌های مخرب مذکور عبارتند از:

> are
> suffer
> noblesse
> noblesse2
> noblessev2
> pytagora
> pytagora2
> genesisbot

✅ لازم به ذکر است این بسته‌ها از PYPI حذف شده‌اند.

🌐 جلوگیری از آسیب‌ها و تهدیدات این بسته‌ها

⭕️ بدافزارهای ویرایش فیلم | آلودگی دستگاه ۱.۲ میلیون ایرانی

📊 بر اساس گزارش تیم تحلیل بیت‌بان، از ۱۶۵ برنامه‌ی ویرایش فیلم موجود در یکی از فروشگاه‌های اندرویدی، ۶۹ مورد آنها بدافزار بوده، و مجموعا ۱۲۷۰۰۰۰ دفعه نصب شده‌اند.

🧨 بدافزارهای ویرایش فیلم بر اساس عملکرد:

🔸دانلودرها
با استفاده از سرویس‌های ارسال هشدار پوشه، فایبریس و دستوراتی در قالب json:

> دانلود برنامه‌های دیگر بدون اجازه‌ی کاربر و درخواست نصب
> نمایش صفحاتی در تلگرام یا اینستاگرام
> مخفی کردن آیکون برنامه

🔸 تلگرامی‌ها
با استفاده از سرویس ارسال هشدار پوشه و فایربیس:

> نمایش صفحاتی در تلگرام (یا نسخه‌های غیر رسمی آن) و اینستاگرام
> عضو کردن کاربر در کانال‌ها و گروه‌های تلگرام بدون اجازه

🌐 نام، شناسه، آیکون و تعداد نصب بدافزارهای ویرایش فیلم

✅ تمامی این بدافزارها، توسط ضدبدافزار بیت‌بان شناسایی شده‌اند.

🔗 گزارش تحلیل بدافزارهای ویرایش فیلم

دانلودرها
تلگرامی‌ها

⭕️ تروجان‌های بانکی در قالب فایل‌های اکسل

⚠️ مدتهاست که برخی بدافزارها، با استفاده از فایل‌های اکسل اقدام به آلوده کردن سیستم‌ها می‌کنند اما، با پیشرفت تکنولوژی‌های امنیتی، اکنون توسط بسیاری از آنتی‌ویروس‌ها قابل شناسایی هستند.

🔎 از این رو هکرها با استفاده از فایل‌های XLSM که قابلیت پشتیبانی از ماکروهای VBA را دارند، به جای فایل‌های XLSX که پیشتر از آنها استفاده می‌شد، به شکل زیر به سیستم کاربران نفوذ می‌کنند.

💣 فایل XLSM در پیوست ایمیل یا در قالب یک لینک برای کاربر ارسال می‌شود، و پس از دانلود و باز کردن آن، در صورت کلیک بر Enable editing و بعد از آن Enable Content، ماکروها بصورت خودکار بر سیستم وی اجرا می‌شوند.

🌐 جزئیات بیشتر در مورد روش کار این بدافزار

🧲 این بدافزار، بدافزارهای دیگری از جمله موارد زیر را دانلود و بر دستگاه قربانی نصب می‌کند:

> ZLoader
> Trickbot
> Qakbot
> Ursnif
> IcedID

💸 گفتنی است که این بدافزارها اکثرا تروجان‌های بانکی هستند و اطلاعات حساب و کارت بانکی قربانی را سرقت می‌کنند.

⭕️ باگ امنیتی در سکرت چت تلگرام

⚠️ بر اساس این باگ امنیتی، پس از آنکه یک فایل، عکس، ویدئو یا لوکیشن، بر اساس مدت زمان مشخصی که برای از بین رفتن خودبه‌خود (Self-Destruct) آنها تنظیم شده، از دستگاه طرفین پاک می‌شود، همچنان در کش تلگرام قابل دسترسی است.

🔺دو سناریو برای این باگ امنیتی تلگرام وجود دارد:

۱. پیامی ارسال می‌شود، دریافت کننده آن را باز می‌کند و می‌خواند، و بر اساس زمان تعیین شده، پیام پاک می‌شود، اما پیام در فولدر کش ذخیره شده است.

۲. پیامی ارسال می‌شود، اما دریافت کننده بدون باز کردن آن، می‌تواند با مراجعه به فولدر کش، بدون متوجه شدن ارسال کننده، آن را بخواند و حتی پاکش کند.

✅ اقدامات تلگرام

تلگرام پس از دریافت گزارش این باگ، مورد مربوط به سناریوی اول را برطرف کرد، اما سناریوی دوم حل نشده باقی ماند.

🔺این باگ مربوط به سیستم عامل مک بوده که در نسخه ۷.۵ تلگرام وجود داشته و در نسخه ۷.۸.۱ به بعد آن برطرف شده است.

🌐 جزئیات بیشتر در مورد باگ سکرت چت تلگرام

⭕️ سرقت اطلاعات کاربران توسط تروجان اندرویدی در گوگل پلی

⚠️ این تروجان اندرویدی که آن را FlyTrap نامیده‌اند، خود را در قالب ۹ برنامه‌ی گوگل پلی پنهان، و دستگاه بیش از ۱۰۰۰۰ نفر از ۱۴۰ کشور دنیا را آلوده کرده است.

💣 اعمال مخرب FlyTrap

سرقت اطلاعات زیر:
> آی‌دی فیسبوک
> موقعیت مکانی
> آدرس ایمیل
> آدرس IP
> کوکی‌ها و توکن‌های مربوط به حساب فیسبوک

🔓روش کار FlyTrap

🕳 این تروجان ابتدا در قالب برنامه‌های جذابی مانند کوپن‌های رایگان نتفلیکس و گوگل‌ادز، و رای‌گیری بهترین بازیکن و تیم فوتبال در گوگل پلی منتشر شد.

🕳 کاربرانی که این برنامه‌ها را نصب کرده بودند، به بهانه‌های مختلفی همچون ثبت رای، جمع‌آوری اعتبار یا کد کوپن، به صفحه لاگین اصلی فیسبوک هدایت می‌شدند.

🕳 حال در صورت وارد کردن اطلاعات خود، جزئیات حساب کاربری آنها، بواسطه‌ی کد جاوااسکریپتی که در صفحه لاگین تزریق شده، به سرور کنترل و فرمان مهاجم منتقل می‌شد.

🛡این بدافزارها توسط ضدبدافزار بیت‌بان شناسایی شده‌اند.

🌐 اطلاعات برنامه‌های آلوده، لو رفتن اطلاعات دیتابیس مهاجمان و جزئیاتی دیگر در وبلاگ بیت‌بان

⭕️ اضافه شدن قابلیت گالری مخفی به نسخه جدید اپلیکیشن بیت‌بان

🔶 برای استفاده از قابلیت گالری مخفی، ابتدا یک الگو، پین یا رمز عبور جهت قفل‌گذاری تنظیم می‌کنید و سپس به یک سوال امنیتی جهت بازیابی اطلاعات ورود در صورت فراموشی آنها پاسخ می‌دهید.
بعد از آن لیست فایل‌های گالری شما در بیت‌بان نمایش داده می‌شود و به انتخاب خود می‌توانید عکس‌ها و ویدئوهای موردنظر خود را مخفی کنید، که پس از مخفی‌سازی، تنها در بیت‌بان قابل مشاهده است.

🔷 دیگر قابلیت‌های نسخه‌ جدید

🔹 اضافه شدن تنظیمات
در این قسمت تنظیمات بخش‌های مختلف برنامه، شامل تنظیمات قفل مرکزی و قفل برنامک‌ها قرار داده شده و علاوه بر آن، تنظیمات آسیب‌پذیری‌ها نیز که پیش از این، پس از نادیده گرفتن آسیب‌پذیری شناسایی شده توسط کاربر، امکان فعال‌سازی مجدد آن وجود نداشت، به این بخش اضافه شده است.

🔹تنظیمات تشخیص آسیب‌پذیری
۱. فعال یا غیرفعال کردن هشدار روت، جهت تشخیص وضعیت (Root)
۲. فعال یا غیرفعال کردن هشدار USB Debugging، جهت تشخیص حالت توسعه‌پذیری

🌐 بروزرسانی اپلیکیشن ضدبدافزار بیت‌بان از فروشگاه‌های مختلف

⭕️ حمله سایبری به کدها و مدل‌های یادگیری ماشین (عمیق)

⚠️ بسیاری از شرکت‌ها و برنامه‌نویسان، از کدها و مدل‌هایی استفاده می‌کنند، که در سایت‌های منبع-باز آورده شده‌اند.
طبق مطالعه‌ای که اخیرا انجام شده، این کار تهدیدات بسیاری دارد و ممکن است منجر بر حملات درب‌پشتی گردد. در نتیجه لازم است که کدها پیش از استفاده و اجرا، کاملا بررسی شوند.

💣 این حمله را می‌توان بطور خلاصه، تزریق درب‌پشتی‌ها به مدل‌های یادگیری ماشین، بر اساس تغییر محاسبات loss-value دانست.

💡در حملات پیشین، هکر علاوه بر نیاز به دسترسی به مدل و داده‌ها، باید به زیرساخت‌های یادگیری ماشین قربانی نیز نفوذ می‌کرد.
اما در این مورد، حمله حتی پیش از جمع‌آوری داده‌ها و اجرای مدل‌ها صورت می‌گیرد.

🚪در این حملات هکر نه داده‌های در حال آموزش را تغییر می‌دهد، نه به مدل نهایی دسترسی دارد و نه حتی می‌تواند اجرای کد خودش را مشاهده کند. بلکه تنها با تزریق درب‌پشتی‌هاست که حمله صورت می‌گیرد.

🌐 سه نوع درب‌پشتی مورد استفاده در این حمله

🔺گفتنی است که این حمله می‌تواند تمام راهکارهای امنیتی شناخته شده را دور بزند.

🌐 راهکار پیشنهادی محققان برای دفع این حمله

⭕️ اپلیکیشن‌های کلاهبرداری استخراج ابری رمزارز در گوگل پلی

⚠️ این اپلیکیشن‌ها که بیش از ۱۸۰ هزار نصب داشته‌اند، به کاربران وعده می‌دادند که با سرمایه‌‌گذاری در عملیات استخراج ابری، سود خود را بصورت رمزارز دریافت خواهند کرد.

💸 اما تنها کاری که این برنامه‌های مخرب انجام می‌دادند، نمایش تبلیغ به کاربران، و فریب آنها جهت عضویت در سرویس‌های اشتراکی و پرداخت هزینه (بطور متوسط ماهانه ‍۱۵ دلار) بوده است.

🌐 این برنامه‌ها با چه روش‌هایی کاربران را فریب می‌دادند؟

🔖 اپلیکیشن‌های کلاهبرداری استخراج ابری رمزارز

> BitFunds
> Bitcoin Miner
> Bitcoin (BTC)
> Daily Bitcoin Rewards
> Bitcoin 2021
> MineBit Pro
> Ethereum (ETH)


🌐 از کجا بفهمیم یک اپلیکیشن استخراج رمزارز واقعی است یا تقلبی؟

🛡این برنامه‌ها توسط ضدبدافزار بیت‌بان شناسایی شده‌اند.

جهت مشاهده نام، آیکون، شناسه و لینک تحلیل این برنامه‌ها در آزمایشگاه بیت‌بان، به لینک زیر مراجعه نمایید:

🌐 مشخصات اپلیکیشن‌های کلاهبرداری استخراج رمزارز

⭕️ مسدود کردن حساب‌های اینستاگرام توسط هکرها

⚠️ ممکن است برخی کسب و کارها برای کنار زدن رقیب خود یا برخی اشخاص به علل شخصی، بخواهند حساب اینستاگرام کسب و کار یا شخص دیگری را مسدود کنند.

💣 اخیرا هکرها برای کمک به این افراد (!)، سرویس‌هایی را به دو روش زیر راه‌اندازی کرده‌اند:

۱. هکر ابتدا اطلاعات پروفایل قربانی را، در یک حساب اینستاگرام تایید شده (دارای تیک آبی) کپی می‌کند. سپس قربانی را با این دلیل که هویت شخص دیگری را جعل کرده، ریپورت می‌کند. حال اگر حساب قربانی تایید شده نباشد، اینستاگرام حسابش را مسدود می‌کند.

۲. هکر حساب قربانی را به دلیل انتشار محتوای مربوط به خودکشی و خودزنی، با حجم زیادی از حساب‌ها ریپورت می‌کند. اینستاگرام هم بدون بررسی دقیق، صرف این گزارش‌ها، حساب قربانی را مسدود می‌کند.

💰هکرها این سرویس‌ها را با مبلغی بین ۵ تا ۶۰ دلار به مشتریان خود می‌فروشند.
جالب اینجاست که بعد از مسدود شدن حساب قربانی، اشخاصی (!) به او پیام می‌دهند که با دریافت مبلغی بین ۳۵۰۰ تا ۴۰۰۰ دلار می‌توانند حسابش را به او بازگردانند.

🌐 روش جلوگیری از این حمله + بازگردانی حساب در صورت وقوع حمله

⭕️ ۲۱۶ بدافزار جدید ایرانی حاوی لینک فیشینگ

⚠️ این بدافزارها با نام بسته‌ی caco333.ca و عناوین مختلفی چون عدالت همراه، ابلاغ الکترونیکی آنلاین، بازی‌هایی با عناوین مستهجن، صیغه‌یاب، شارژ رایگان یا ۴۰ گیگ نت مردمی ارزان، در حال انتشار و خالی کردن حساب بانکی ایرانیان هستند.

⛔️ روش کلاهبرداری:

۱. بعد از دانلود، نصب و اولین اجرای برنامه، سرور یک لینک فیشینگ برای کاربر ارسال می‌کند.
۲. پس از کلیک بر لینک، از کاربر درخواست می‌شود اطلاعاتی مانند کد ملی و شماره همراهش را وارد کند.
۳. سپس به یک درگاه فیشینگ هدایت و از وی خواسته می‌شود که مبلغ ۲۰۰۰ تومان پرداخت نماید.
۴. اطلاعات کارت بانکی وی به سرور ارسال می‌شود و از آنجا که بدافزار، مجوز دسترسی به پیامک‌های قربانی را گرفته، می‌تواند رمز پویای ارسال شده را بخواند.
۵. هکر کل حساب قربانی را خالی می‌کند.

🔺این دسته بدافزارها با کارکردی مشابه بدافزارهای ir.pardakht (که تعداد آنها در دو ماه گذشته از ۸۰۰ به بیش از ۱۰۰۰ مورد رسیده)، قابلیت مخفی کردن آیکون خود را نیز دارند.

🛡تمامی این بدافزارها توسط ضدبدافزار بیت‌بان شناسایی شده‌اند.

🌐 مشخصات ۲۱۶ بدافزار ایرانی + تحلیل

⭕️ فیشینگ با پیامک جعلی مسدودی سیم‌کارت

⚠️ طبق گزارش پلیس فتا، بتازگی پیامک‌هایی جعلی برای برخی از افراد ارسال شده، که متن آن به شرح زیر بوده و در آن لینکی برای دانلود بدافزاری به اسم همیاب24 وجود داشته است:

«مشترک گرامی شماره شما به دلیل استفاده از سایت های غیر مجاز به زودی مسدود خواهد شد.
به منظور پیشگیری از ویروس کرونا و عدم مراجعه به شعبه های رسمی میتوانید از طریق نرم افزار همیاب24 سیم کارت را پیگیری کنید.»

🔎 این بدافزار متعلق به دسته‌ی ir.pardakht است و همانند بدافزارهای caco333.ca، بعد از نصب، مجوز دسترسی به پیامک‌های کاربر را دریافت می‌کند و پس از هدایت وی به یک درگاه جعلی فیشینگ، اطلاعات کارت وی را سرقت و در نهایت حسابش را خالی می‌نماید.

⚠️ توجه بفرمایید که تنها آدرس معتبر سامانه همیاب ۲۴ که امکان «استعلام رجیستری گوشی» و «استعلام سرقتی گوشی تبلت و لپ‌تاپ» را برای کاربران فراهم می‌کند، آدرس زیر است:

https://hamyab24.ir

⛔️ آدرس جعلی:
https[:]//hamyab24[.]tk

🛡این بدافزار توسط ضدبدافزار بیت‌بان شناسایی شده است.

🌐 اطلاعات تکمیلی + تحلیل

🔴 لطفا اطلاع‌رسانی کنید.

⭕️ ۵.۸ میلیون حمله سایبری به گیمرها در یک سال گذشته

⚠️ در یک سال گذشته، سیستم بیش از ۳۰۰ هزار نفر توسط ۷۰ هزار بدافزار، و گوشی بیش از ۵۰ هزار نفر، توسط ۱۰ هزار بدافزار، در قالب ۲۴ نمونه از پرطرفدارترین بازی‌ها آلوده شده است.

🇮🇷 گفتنی است ایران نیز، یکی از ۴۵ کشوری است که مورد این حملات بدافزاری قرار گرفته‌اند.

⛔️ بررسی‌ها نشان می‌دهند ۸۷.۲۴٪ بدافزارهای کامپیوتری دانلودر، و ۸۳.۰۵٪ بدافزارهای موبایلی تبلیغ‌افزار بوده‌اند.

💻 بدافزارهای موبایلی

> Minecraft
> Among US
> PUBG Mobile
> Free Fire
> Brawl Stars
> Roblox
> Call of Duty (Mobile)
> Clash of Clans
> Clash Royale
> Genshin Impact

📱بدافزارهای کامپیوتری

> Minecraft
> The Sims 4
> PUBG
> Fortnite
> Grand Theft Auto V
> Counter-Strike Global Offensive
> Rocket League
> League of Legends
> FIFA 21
> Need for Speed Heat

💣 اعمال مخرب

> فیشینگ و تبلیغات
> سرقت اطلاعات بانکی و والت رمزارز
> سرقت اطلاعات مرورگرها و دیگر برنامه‌های کاربر
> دانلود برنامه‌ها (بدافزارها) بر سیستم و دستگاه کاربر

🌐 نام تمامی بازی‌های آلوده به بدافزار

⭕️ ۳۸ بدافزار ایرانی و قصه‌ی فیشینگی که تمامی ندارد!

⚠️ طبق بررسی‌های بیت‌بان، یک دسته‌ی دیگر از بدافزارها با نام بسته‌ی ir.pardhhhh در حال آلوده کردن دستگاه ایرانیان هستند و کارکردی مشابه بدافزارهای ir.pardakht و caco333.ca دارند:

۱. درخواست نصب
۲. هدایت کاربر به درگاه فیشینگ
۳. درخواست واریز مبالغی کم (۱۰۰۰ یا ۲۰۰۰ تومان)
۴. سرقت اطلاعات کارت بانکی
۵. خالی کردن حساب قربانی

💣 تفاوت این دسته با بدافزارهای ir.pardakht و caco333. ca

بدافزارهای ir.pardhhhh دسترسی‌های به مراتب بیشتری چون دسترسی به دوربین، خواندن و نوشتن تنظیمات، و دسترسی به حافظه خارجی از کاربر دریافت می‌کنند و این امر، گستره‌ی احتمالی اعمال مخرب آنها را بشدت افزایش می‌دهد.

🗂 موضوعات بدافزارهای ir.pardhhhh

> خرید شارژ و نت ارزان
> دوست‌یابی و موارد مستهجن
> خرید فالوور
> شماره مجازی
> ثبت آگهی دیوار

✅ تمامی این بدافزارها توسط ضدبدافزار بیت‌بان شناسایی شده‌اند.

🌐 نام و مشخصات این ۳۸ بدافزار ایرانی

⭕️ سرقت اطلاعات توسط بدافزار سامانه سلامت و ثبت‌نام واکسن

⚠️ اخیرا بدافزاری به نام «سامانه سلامت وزارت بهداشت» در حال انتشار است، که اطلاعاتی شخصی را به بهانه‌ی «ثبت‌نام واکسیناسیون کرونا» از کاربران دریافت و به مهاجم ارسال می‌کند. این اطلاعات شامل موارد زیر است:

> استان محل سکونت
> نام و نام خانوادگی
> شماره ملی
> تاریخ تولد
> شماره موبایل

💣 این بدافزار دسترسی کاملی به پیامک‌ها می‌گیرد و لینک دانلود خود را، برای تمامی مخاطبین قربانی ارسال می‌کند. همچنین گفتنی است که کد مخفی کردن آیکون بدافزار نیز در برنامه وجود دارد.

💸 با توجه به این دسترسی و اطلاعات سرقت شده از کاربر، احتمال فیشینگ و دیگر کلاهبرداری‌های مالی، توسط این بدافزار و نسخه‌های احتمالی دیگر آن وجود دارد.

⏹ این بدافزار توسط ضدبدافزار بیت‌بان شناسایی شده است.

✅ تنها آدرس معتبر سامانه ثبت نام واکسیناسیون کرونا:

https://salamat.gov.ir/

🌐 مشخصات این بدافزار + دو بدافزار مشابه 👇🏻

«تلگرام با نت رایگان» - «همراه بانک ملت»

⭕️ کلاهبرداران پیامکی سامانه ثنا و ابلاغ الکترونیک دستگیر شدند

⚠️طبق گزارش پلیس فتا، این باند کلاهبرداری متشکل از ۵ نوجوان بوده که سه نفر از آنها دستگیر شدند و و دو نفرشان متواری هستند.

🎩 این کلاهبرداران بیش از ۱۵۰ هزار پیامک جعلی به اسم سامانه ثنا، و به بهانه مشاهده ابلاغ الکترونیک، شکوائیه و حکم جلب، برای برخی از شهروندان ارسال کرده‌اند و در نهایت توانسته‌اند موجودی حساب ۴۰۰۰ نفر را خالی کنند!

💸 اعضای این باند سیم‌کارت‌ها و کارت‌های بانکی‌ای که برای ارسال پیامک و خالی کردن حساب قربانیان نیاز داشتند را، از کارتن‌خواب‌ها و بی‌خانمان‌ها خریداری می‌کردند.

🔺 متاسفانه این کلاهبرداری شاکیان بسیاری دارد و به گفته‌ی یکی از مسئولان این پرونده، احتمال بازگردانی تمامی پول‌های سرقت رفته به صاحبانشان، کم است.

✅ با این‌حال، مال‌باختگان می‌توانند جهت پیگیری‌های بیشتر، با مدارک مربوطه به پلیس فتای استان خود مراجعه نمایند.

🌐 اخبار مربوط به این کلاهبرداری در وبلاگ بیت‌بان:

۲۱۶ بدافزار جدید ایرانی حاوی لینک فیشینگ
۸۰۰ بدافزار ایرانی حاوی لینک فیشینگ
پیامک‌های جعلی ابلاغ الکترونیک
جزئیات و تحلیل فنی کلاهبرداری

⭕️ ۳۵۰ بدافزار ایرانی سارق پیامک

⚠️ این بدافزارها در دو بسته‌ی com.ApkEditors.irhack.apps و amoogram.vahid.mail و در پوشش برنامه‌هایی چون اینترنت رایگان، مایکت، خرید شارژ، هک تلگرام، هک وای‌فای، تلگرام ضد مومو، اتصال سرور و برخی عناوین مستهجن منتشر شده‌اند.

🔺 بدافزارهای بسته‌ی اول، وقتی برای بار اول اجرا می‌شدند، پنجره‌ی در حال اجرایی را باز می‌کردند و پس از پر شدن باکس لودینگ، سه پیام زیر را به ترتیب به کاربر نمایش می‌دادند:

- This app does not match your device, your Android is not compatible
- برنامه حذف شد
- @irhack_apps

و در نهایت پس از مخفی کردن آیکون خود، تمام پیامک‌های دریافتی کاربر را به شماره‌ی مشخصی ارسال می‌کردند.

🔺بدافزارهای بسته‌ی دوم نیز، بلافاصله پس از نصب، پیامکی با متن «هک شد» به شماره‌ای مشخص که در کد برنامه آمده، ارسال می‌کردند. در کد بدافزارهای این بسته، از کلاس‌هایی استفاده شده، که احتمال خطرات بیشتری را برای کاربر در پی دارند.

🛡تمامی این بدافزارها توسط ضدبدافزار بیت‌بان، شناسایی شده‌اند.

🌐 مشخصات ۳۵۰ بدافزار ایرانی + تحلیل

⭕️ آموزش پیشگیری از نصب بدافزارهای اندرویدی

⚠️ همانطور که تاکنون بارها ذکر شده، نصب برنامه از منابع غیرمعتبر، احتمال آلودگی دستگاه کاربران به انواع بدافزارها را بشدت افزایش می‌دهد.
به عنوان مثال بدافزارهای ابلاغ الکترونیک و ثنا، همگی توسط کلیک کاربر بر یک لینک آلوده، و از طریق مرورگر، بر دستگاه وی دانلود و نصب می‌شدند.
در نتیجه محدود کردن دستگاه در دانلود برنامه از منابع مختلف، می‌تواند سهم بسزایی در پیشگیری از نصب انواع بدافزارها داشته باشد.

🛡 قابلیت Install unknown apps

با استفاده از این قابلیت، دانلود برنامه‌ها تنها از طریق منابعی که به نظر شما امن و معتبر هستند، ممکن است.
به عنوان مثال با غیرفعال کردن مرورگر در این بخش، می‌توانید از نصب انواع بدافزارهایی که از طریق لینک‌های آلوده در پیامک، یا وب‌سایت‌ها بر دستگاه شما دانلود و نصب می‌شوند جلوگیری نمایید.
همچنین با غیرفعال کردن امکان دانلود برنامه از پیام‌رسان‌های مختلف مانند تلگرام و واتساپ، از خیل گسترده‌ی بدافزارها در امان خواهید بود.

🔹 با استفاده از این روش، کودکان و افراد مسن که دقت و حوصله‌ی زیادی در کار کردن با دستگاه‌ها ندارند، امنیت بیشتری خواهند داشت.

روش تنظیم Install unknown apps

🔸 [در اندروید ۸ به بعد]

Settings > Security & Privacy > More > Install unknown apps

راه ساده‌تر هم، جستجوی Install unknown apps در سرچ بار دستگاه‌تان است.

🔸 [در اندروید قبل از ۸]

Settings > Security > Unknown source

⛔️ بر خلاف اندرویدهای ۸ به بالا، مشکلی در نسخه‌های قبل از ۸ اندروید وجود دارد، و آن اینکه در صورت فعال نمودن Unknown sources، هر برنامه‌ای که در دستگاه شما نصب باشد، می‌تواند هر برنامه‌ی دیگری اعم از بدافزارها را دانلود نماید!

🌐 ۴ توصیه‌ی امنیتی، اگر خواستید برنامه‌ای را از منابع غیرمعتبر دانلود کنید

⭕️ کلاهبرداری چند میلیاردی با اپلیکیشن‌های رسیدساز جعلی

⚠️ طبق گزارش‌های پلیس فتا، در کمتر از سه ماه گذشته، کلاهبرداران توانسته‌اند با استفاده از اپلیکیشن‌های رسیدساز، بیش از دو میلیارد تومان از شهروندان سرقت کنند!

🎩 طرح کلی این کلاهبرداری

شما صاحب یک فروشگاه اینترنتی هستید یا جهت فروش یک کالا در سایت‌هایی مانند دیوار و شیپور، آگهی گذاشته‌اید. شخصی با برخورد مناسب با شما تماس می‌گیرد و اقدام به خرید کالای شما می‌کند. سپس یک رسید که بنظر واقعی می‌رسد را برای شما ارسال می‌کند و از شما می‌خواهد که کالا را با پیک برای وی بفرستید. اما رسید ارسالی جعلی بوده و توسط اپلیکیشن‌های رسیدساز ساخته شده است!

در خریدهای غیر اینترنتی نیز، کلاهبردار به بهانه‌ی همراه نداشتن کارت، ادعا می‌کند که واریز را بصورت اینترنتی انجام داده، و در نهایت با نشان دادن یک رسید جعلی کالا را تحویل می‌گیرد!

🔒 توصیه

۱. سامانه پیامکی حساب بانکی خود را فعال کنید.
۲. بدون کسب اطمینان و استعلام از وجه واریزی، کالا را تحویل ندهید.

🌐 در وبلاگ بیت‌بان بخوانید:

طرز کار اپلیکیشن‌های رسیدساز جعلی
تفاوت‌های ظاهری رسید جعلی با رسید اصلی

⭕️ فوری: تمام دستگاه‌های اپل خود را بروزرسانی کنید

⚙️ رفع آسیب‌پذیری مورد سوءاستفاده‌ی جاسوس‌افزار پگاسوس

⚠️ دو روز پیش شرکت اپل آخرین بروزرسانی خود را منتشر کرد. در این بروزرسانی آسیب‌پذیری CVE-2021-30860 که جاسوس‌افزار پگاسوس با استفاده از آن، می‌توانست به دستگاه‌های اپل نفوذ کند، وصله شده است.

🔓 این آسیب‌پذیری یک اکسپلویت روز صفر و کلیک صفر در iMessage است، که کتابخانه‌ی رندرینگ عکس اپل (CoreGraphics) را هدف قرار داده بود.

📱 از این رو تمامی دستگاه‌های اپل، هرچه سریع‌تر باید به موارد زیر بروزرسانی شوند:

> macOS Big Sur 11.6
> macOS Catalina
> watchOS 7.6.2
> iOS 14.8 and iPadOS 14.8
> Safari 14.1.2

⛔️ جاسوس‌افزار پگاسوس، در قالب یک فایل مخرب pdf قادر به اجرای کدی دلخواه بر دستگاه و سیستم قربانی بوده، و در نهایت دسترسی تقریبا کاملی بر دستگاه وی، و برنامه‌های آن پیدا می‌کرده است.

🌐 در بیت‌بان بخوانید:

نتایج تحلیل پگاسوس در آزمایشگاه بیت‌بان
اعمال مخرب نسخه‌های iOS و اندروید پگاسوس

⭕️ ۳ نوع کلاهبرداری در پوشش اربعین

⚠️ طبق گزارش‌های پلیس فتا، با نزدیک شدن به ایام اربعین، مجرمان به طرق مختلفی که به برخی از آنها در ادامه اشاره شده، اقدام به کلاهبرداری از شهروندان می‌کنند.

۱.صدور ویزای اربعین
کلاهبردار پیامی با وعده‌ی اخذ ویزای عراق با قیمتی کمتر از مقدار مصوب، در شبکه‌های اجتماعی برای کاربران ارسال می‌کند.
در این پیام لینکی قرار گرفته که کاربر را به یک درگاه پرداخت جعلی هدایت، و پس از سرقت اطلاعات کارت بانکی وی و با سازوکاری احتمالا شبیه به بدافزارهای ابلاغ الکترونیک و ثنا، حساب قربانی را خالی می‌کند.

۲. انتشار بدافزار
در قالب برنامه‌های ادعیه و نوحه، و آلوده کردن دستگاه و سرقت اطلاعات قربانی
(نمونه‌هایی از بدافزارهای مذهبی)

۳. کمک مردمی
جمع‌آوری کمک‌های مردمی به اسم اعزام افراد کم یا بی‌بضاعت به کربلا


توصیه‌ها

۱. دریافت ویزا با ثبت‌نام در سامانه سماح به آدرس زیر:
https://samah.haj.ir

۲. دانلود برنامه، تنها و تنها از فروشگاه‌های معتبر و نصب یک ضدبدافزار جامع بر دستگاه

۳. کمک به نیازمندان، تنها از طریق مراجع معتبر

⭕️ فیشینگ با استفاده از فایل‌های پاورپوینت

⚠️ پیش‌تر در مورد بدافزارهایی که در انواع فایل‌‌های مایکروسافت مانند فایل‌های ورد، اکسل و پی‌دی‌اف پنهان می‌شوند، توضیح داده بودیم.
بتازگی هکرها با پنهان کردن یک بدافزار رت در فایل‌های پاورپوینت، سیستم‌های بسیاری را آلوده، و حساب‌های زیادی را خالی کرده‌اند.

طرح حمله فیشینگ

🔺 ابتدا ایمیلی اسپم برای کاربر ارسال می‌شود که یک فایل پاورپوینت به آن پیوست شده است. چنانچه کاربر فایل را دانلود و باز نماید، اخطاری امنیتی مبنی بر وجود ماکرو به وی نمایش داده می‌شود، که در صورت کلیک کاربر بر Enable Macros، یک رت به نام AgentTesla بر سیستم وی نصب می‌شود.

🔸این بدافزار، پسوردهای کاربر را سرقت می‌کند و اسکرین‌شات‌ها و موارد تایپ شده بوسیله‌ی کیبورد وی را ضبط و برای هکر ارسال می‌نماید.

📈 متاسفانه تعداد این حملات فیشینگ در ۶ ماهه‌ی اول سال ۲۰۲۱ رشدی ۳ برابری داشته است.

🌐 مشخصات بدافزار + مراحل نفوذ و آلودگی