تروجان جدید واتساپ؛ بدافزار خطرناکی که از Gmail فرمان می گیرد

تروجان جدید واتساپ؛ بدافزاری که از Gmail فرمان می گیرد

در هفته های اخیر گزارش های متعددی از یک حمله سایبری نوظهور در واتساپ منتشر شده است. این کمپین با سوءاستفاده از لینک های به ظاهر قانونی، کاربران را به دام می اندازد و آن ها را به یک بدافزار پیچیده آلوده می کند. این حمله با عناوینی مثل «پیگیری بسته»، «برنامه دولتی» یا «طرح سرمایه گذاری» منتشر می شود و بسیاری از کاربران را با فریب محتوای معتبر، به کلیک روی لینک سوق می دهد. این روش، یکی از قدیمی ترین تکنیک ها در مهندسی اجتماعی است؛ اما ساختار بدافزار جدید، ماجرا را بسیار جدی تر کرده است.

روش انتشار و شروع آلودگی

بدافزار پس از کلیک کاربر، در یک فرایند چند مرحله ای فعال می شود. لینک مخرب ابتدا کاربر را به صفحه ای جعلی هدایت می کند و فایل آلوده را روی دستگاه نصب می کند. این مرحله بدون هیچ هشدار مشخصی انجام می شود. سپس بدافزار با فعال سازی مجوزهای سیستمی، کنترل بخشی از دستگاه را در دست می گیرد. در این لحظه، کاربر متوجه تغییر خاصی نمی شود؛ اما آلودگی شروع شده است.

لایه اول حمله: کرم انتشاردهنده واتساپ

مرحله اول آلودگی شامل یک «کرم انتشاردهنده» است. این کرم بلافاصله شروع به ارسال خودکار همان لینک مخرب برای مخاطبان واتساپ کاربر می کند. این اقدام باعث گسترش انفجاری حمله می شود. از آنجا که پیام از طرف یک آشنا ارسال می شود، احتمال کلیک کاربران بسیار بالا می رود. این بخش از حمله، سرعت انتشار بدافزار را چند برابر کرده است.

لایه دوم حمله: تروجان بانکی

پس از فعال شدن کرم، بخش اصلی حمله شروع می شود. این بخش شامل یک «تروجان بانکی» پیشرفته است. این تروجان وظیفه دارد داده های حساس کاربر را استخراج کند. اطلاعات هدف شامل رمزهای عبور، پیامک های حاوی رمز یک بارمصرف، داده های ورود به بانک ها و حتی اطلاعات برنامه های مالی است. این نوع بدافزار می تواند تراکنش های کاربر را رهگیری، بازنویسی یا تغییر دهد. این مرحله یکی از خطرناک ترین بخش های حمله محسوب می شود.

نوآوری عجیب: دریافت فرمان از Gmail

یکی از ویژگی های بی سابقه این تروجان، معماری ارتباطی آن است. برخلاف بیشتر بدافزارها که از سرور فرماندهی (C2) ثابت استفاده می کنند، این تروجان دستورات خود را از یک حساب Gmail دریافت می کند. مهاجمان با استفاده از پیش نویس های ذخیره شده در Gmail، فرمان ها را ارسال و کنترل بدافزار را مدیریت می کنند. این روش، امکان رهگیری حمله را تقریباً غیرممکن می کند. زیرا سیستم های امنیتی معمولاً ارتباط با سرویس های عمومی مانند Gmail را مسدود نمی کنند.

چرا این بدافزار شناسایی نمی شود؟

اعتماد عمومی به Gmail باعث شده این حمله بسیار موفق باشد. بدافزار در پس زمینه به حساب مهاجم متصل می شود و هر تغییر در پیش نویس ها را به عنوان فرمان جدید دریافت می کند. این فرایند رمزگذاری شده و طبیعی به نظر می رسد. حتی بسیاری از آنتی ویروس ها نمی توانند این الگوی ارتباطی را به عنوان رفتار مخرب تشخیص دهند. همین موضوع، سطح خطر را چند برابر کرده است.

خطرات امنیتی برای کاربران

این بدافزار دسترسی گسترده ای به بخش های مختلف دستگاه ایجاد می کند. پیام ها، رمزهای عبور، ارتباطات مالی و فایل های ذخیره شده، همگی در معرض سرقت قرار می گیرند. این حمله می تواند منجر به تخلیه حساب بانکی، دستکاری تراکنش ها و حتی سرقت هویت شود. از آنجا که بدافزار با سرعت زیادی منتشر می شود، شناسایی و مهار آن دشوارتر می شود. کاربران بدون اینکه متوجه باشند، بخشی از زنجیره حمله خواهند شد.

راه های جلوگیری و اقدامات ضروری

برای جلوگیری از این حمله، رعایت چند نکته ضروری است. ابتدا نباید روی هیچ لینک ناشناس در واتساپ کلیک کرد، حتی اگر از طرف یک دوست ارسال شده باشد. بهتر است قبل از باز کردن لینک، از او سؤال کنید. همچنین باید نصب برنامه از منابع ناشناس را به طور کامل غیرفعال کنید. به روزرسانی مرتب تلفن و نصب برنامه های امنیتی معتبر نیز اهمیت دارد. پاک کردن برنامه های مشکوک و بررسی مجوزهای فعال از دیگر اقدامات مهم محسوب می شود.

تروجان جدید واتساپ با تکیه بر یک معماری هوشمند و استفاده از Gmail، شکل تازه ای از حملات سایبری را معرفی کرده است. ترکیب کرم انتشاردهنده و تروجان بانکی، این بدافزار را به یکی از پیچیده ترین تهدیدهای سال تبدیل کرده است. کاربران باید با دقت بیشتری لینک های دریافتی را بررسی کنند و اقدامات امنیتی را جدی بگیرند. پیشگیری از این نوع حملات تنها با رعایت اصول ساده اما مهم امنیت دیجیتال امکان پذیر است.