محققان امنیت سایبری شرکت SophosLabs چهار اپلیکیشن حاوی بدافزار را کشف کردهاند که خود را بهجای چهار بانک ایرانی ملت، صادرات، رسالت و مرکزی جا زده و ماهها به گردآوری اطلاعات حساس کاربران و سوءاستفاده از آنها مشغول بودهاند.
براساس گزارشی که در وبسایت «سوفوس» منتشر شده است، چهار اپلیکیشن جعلی که از گواهی مسروقه اپهای اندرویدی استفاده میکردند، در حد فاصل ماه دسامبر 2022 (آذر-دی 1401) تا مه 2023 (اردیبهشت-خرداد 1402) مشتریان این بانکها را هدف قرار داده بودند.
این اپلیکیشنها ظاهراً اطلاعات احراز هویت مشتریان بانکها و اطلاعات کارتهای بانکی افراد را سرقت کردهاند. این بدافزارها قادر بودند اطلاعات پیامکها را بخوانند و آیکن خود را مخفی کنند.
محققان سوفوسلبز میگویند این اپهای جعلی پس از نصب، پیامی را به کاربر نشان داده و درخواست دسترسی به پیامکها را میکردند. پس از دریافت مجوز، صفحه ورود به همراه بانک را به نمایش میگذاشتند. زمانی که کاربر اطلاعات خود را وارد میکرد، دادهها به یک سرور فرمان و کنترل (C2) ارسال و تاریخ تولد کاربر از او پرسیده میشد.
سپس پیام خطایی روی صفحه ظاهر میشد که میگفت درخواست ورود او ارسال شده است و برای فعالسازی حساب خود باید 24 ساعت منتظر بماند. درنتیجه مهاجمان فرصت داشتند از این دادهها سوءاستفاده کنند یا آنها را بفروشند.
سوفوسلبز میگوید این اپهای جعلی روی دامنههایی نسبتاً جدید برای دانلود بارگذاری شده بودند که از بعضی از آنها بهعنوان سرور C2 هم استفاده میشد. برخی از همین دامنهها برای فیشینگ نیز بهکار گرفته میشدند. بااینحال، مشخص نیست که مهاجمان چگونه کاربران را مجاب میکردند تا از این سایتها اپهای بانکی جعلی را دانلود کنند.
اگرچه این سایتها اکنون از کار افتادهاند، اما برخی از سرورهای C2 آنها همچنان فعالند. سوفوسلبز توضیح میدهد که حداقل یکی از این سرورها احتمالاً وبسرور دانشگاه کوثر بوده است که مهاجمان آن را تحت کنترل خود درآورده بودند و ظاهراً هنوز بخشی از کد بکاند سرور C2 آنها بهصورت فایلهای PHP در آنجا قرار دارد.
بررسیهای این شرکت همچنین نشان میدهد که هکرها در گوشی قربانی بهدنبال چند اپلیکیشن بانکی و مالی دیگر مثل اپهای بانک ملی، بانک سپه، بانک پاسارگاد، بانک تجارت، بانک رفاه، بلوبانک، تترلند، نوبیتکس، کوینکس، بیتپین و دیجیپی هم میگشتند. در پایان جستجو، نتیجه کار به سرور C2 ارسال میشد، اما اتفاق بیشتری رخ نمیداد. درنتیجه این احتمال مطرح است که در آینده حملات بیشتری در راه باشد.
پیگیریهای دیجیاتو از بانک مرکزی برای واکنش به گزارش شرکت امنیت سایبری Sophos تا به این لحظه نتیجهای در بر نداشته است.
دیدگاهتان را بنویسید