Doctor Web نسخه‌های جدیدی از تروجان‌های Android.Spy.Lydia را شناسایی کرده است که به فعالیت‌های جاسوس‌افزاری مختلفی در دستگاه‌های Android آلوده می‌پردازند و قابلیت‌های کنترل از راه دور برای دزدیدن وجوه و اطلاعات شخصی را در اختیار مهاجمان قرار می‌دهند. به‌علاوه، این تروجان‌ها یک مکانیسم دفاعی دارند که بررسی می‌کند روی شبیه‌ساز یا دستگاه آزمایشی راه‌اندازی شده‌اند یا خیر. در چنین مواردی، فعالیت تروجان‌ها متوقف می‌شود.

این تروجان‌ها از طریق وب‌سایت‌های مخربی توزیع می‌شوند که خود را در قالب سازمان‌های مالی جا می‌زنند، از قبیل بازارهای آنلاین سهام، که به گفته کلاهبرداران، مخاطب اصلی آنها شهروندان ایرانی هستند. یک نمونه از چنین سایت‌هایی hxxp[:]//biuy.are-eg[.]com/dashbord/‎ است

در این صفحه، از فرد قربانی خواسته می‌شود اطلاعات شخصی خود را وارد کند: نام، نام میانی و نام خانوادگی، شماره تلفن همراه و شماره ملی. پس از وارد کردن این اطلاعات، کاربر به صفحه hxxp[:]//biuy.are-eg[.]com/dashbord/dl.php هدایت می‌شود و در آنجا به کاربر گفته می‌شود که به‌منظور دسترسی به بخش معاملات، باید یک نرم‌افزار خاص را دانلود و نصب کند. اما پس از کلیک کردن روی دکمه دانلود، به‌جای برنامه واقعی مورد نظر، قربانی به یکی از نسخه‌های تروجان Android.Spy.Lydia.1 فرستاده می‌شود.

پس از راه‌اندازی، تروجان پیوندی به یک صفحه فیشینگ از hxxp[:]//teuoi[.]com درخواست می‌کند که سپس به‌وسیله مؤلفه WebView، بدون باز کردن مرورگر، در صفحه نمایش داده می‌شود. نسخه بدافزاری که ما دریافت کردیم این نشانی را باز کرد: hxxps[:]//my-edalatsaham[.]sbs/fa/app.php

این صفحه حاوی فرمی برای وارد کردن شماره شناسایی ملی است که «سود سهام» بعداً به آن واریز شود. در این مرحله، تروجان شناساگر منحصربه‌فردش را به سرور C&C خود ارسال می‌کند و به سرور اطلاع می‌دهد که دستگاه با موفقیت آلوده شده است.
پس از آلوده شدن دستگاه، تروجان از طریق WebSocket به هاست راه دور به نشانی ws[:]//httpiamaloneqs[.]xyz:80 متصل می‌شود و منتظر می‌ماند تا دستورات به‌صورت هم‌زمان به همه دستگاه‌های آلوده ارسال شود. هر دستور حاوی شناساگر دستگاهی است در مورد آن صادر شده است. تصویر صفحه زیر دستورات ارسالی از سرور C&C به بات‌نت را نشان می‌دهد.

تروجان‌های Android.Spy.Lydia می‌توانند کارهای زیر را انجام دهند:
⦁ جمع‌آوری اطلاعات درباره برنامه‌های نصب‌شده
⦁ پنهان کردن یا نمایش دادن آیکون خودشان در فهرست برنامه‌های صفحه اصلی
⦁ قرار دادن دستگاه در حالت بی‌صدا
⦁ ارسال محتوای پیامک‌های ورودی به سرور یا به شماره تلفن تعیین‌شده توسط مهاجمان
⦁ ارسال محتوای کلیپ‌بورد به سرور
⦁ ارسال پیامک با متن سفارشی به شماره‌های مشخص‌شده
⦁ آپلود مخاطبان از دفترچه تلفن به سرور
⦁ افزودن مخاطبان جدید به دفترچه تلفن
⦁ دانلود صفحه‌های وب مشخص با استفاده از مؤلفه WebView.

این قابلیت‌ها به مجرمان سایبری امکان می‌دهد با استفاده از این تروجان‌ها، پیامک‌ها را شنود کنند، برنامه‌های بانکی را که فرد قربانی استفاده می‌کند شناسایی کنند و با حساب‌های بانکی آنها اقدامات کلاهبرداری انجام دهند. برای مثال، مهاجمان می‌توانند پیامک‌های بانکی را بخوانند تا از جزئیات موجودی حساب‌ها و خریدهای انجام‌شده آگاه شوند و با استفاده از این اطلاعات، به‌سادگی اعتماد قربانی را جلب کنند. به‌علاوه، با استفاده از فناوری A2P که امکان ارسال پیامک از برنامه‌ها را فراهم می‌کند و آسیب‌پذیری‌ها در پروتکل پیامک، کلاهبرداران می‌توانند با ارسال پیامک‌های جعلی، خود را به‌عنوان بانک جا بزنند و از کاربران بخواهند کارهایی را انجام دهند که امنیت حساب‌های بانکی آنها را به‌خطر می‌اندازد. همچنین، پس از خواندن پیام‌های قربانی، کلاهبرداران می‌توانند وانمود کنند یکی از آشنایان فرد هستند و از او بخواهند به آنها پول قرض بدهد یا برای پرداخت قسط به آنها کمک کند و غیره. در نهایت، اگر هکرها قبلاً اطلاعات ورود به حساب بانکی یا اطلاعات کارت اعتباری را دزدیده باشند، می‌توانند با استفاده از تروجان، تأیید هویت دوعاملی را دور بزنند و به حساب بانکی دسترسی کامل پیدا کنند.
متأسفانه، محبوبیت این نوع حمله افزایش چشمگیری پیدا کرده است: بنا به اظهار کمیسیون تجارت فدرال، تعداد کلاهبرداری‌های پیامک‌های بانکی جعلی که در سال ۲۰۲۲ گزارش شده است ۲۰ برابر تعداد گزارش‌شده در سال ۲۰۱۹ بوده است. به‌طور کلی، گزارش‌های مشتریان نشان می‌دهد که بیش از ۳۳۰ میلیون دلار کلاهبرداری پیامکی در سال ۲۰۲۲ انجام شده است.
Doctor Web یادآوری می‌کند که دانلود نرم‌افزارها از منابع مشکوک خطرناک است و باید هنگام دریافت تماس‌ها یا پیام‌های غیرمنتظره از بانک‌ها یا سازمان‌های دیگر، احتیاط کنید. به‌علاوه، اکیداً توصیه می‌کنیم یک برنامه ضدویروس در دستگاه خود نصب کنید.
Dr.Web Security Space برای Android تروجان‌های Android.Spy.Lydia را شناسایی و حذف می‌کند تا از دستگاه‌های کاربرانمان محافظت کند و سرقت اطلاعات شخصی و پول آنها را بسیار دشوارتر کند.