بدافزارهای بانکی تلفن همراه کاربران ایرانی را هدف گرفته‌اند

علیرضا منافی
در آخرین مورد کشف‌شده، یک کارزار پیچیده بدافزار بانکداری تلفن همراه به طور خاص کاربران ایرانی را به شکلی گسترده هدف قرار داد.

موسسه امنیتی زیمپریوم که فعالیت آن بر امنیت تلفن‌های همراه متمرکز است، طی گزارشی در ژوییه ۲۰۲۳، یک کارزار متشکل از تروجان‌های بانکی متمرکز بر تلفن‌های اندرویدی را کشف کرد که کاربران ایرانی را هدف قرار می‌دادند. تیم تحقیقاتی زیمپریوم اخیرا دریافت که فعالیت‌های این کارزار نه‌تنها متوقف نشده، بلکه قابلیت‌های آن گسترش یافته است.

روش فعالیت این کارزار بدافزارهای بانکی به چه صورت است؟

در تحقیقات قبلی، ۴۰ اپلیکیشن‌ جعلی بانک ملت، بانک صادرات، بانک رسالت و بانک مرکزی کشف شدند که از دسامبر ۲۰۲۲ تا مه ۲۰۲۳ فعال بودند و امکان سرقت اطلاعات ورود به سامانه بانکی، سرقت اطلاعات کارت بانکی، پنهان کردن برنامه به منظور جلوگیری از حذف و رهگیری کدهای پویا و دسترسی به پیامک را فراهم می‌کردند. این اپلیکیشن‌ها از نسخه‌های قانونی موجود در کافه بازار تقلید می‌کردند و از طریق چندین وب‌سایت فیشینگ که برخی از آن‌ها به عنوان سرورهای فرمان و کنترل عمل می‌کردند، توزیع می‌شدند.

سرورهای فرمان و کنترل (C&C) سرورهای متمرکزی‌اند که مهاجمان از آن‌ها برای کنترل از راه دور دستگاه‌های آلوده به بدافزار استفاده می‌کنند. این سرورها دستورهایی را به دستگاه‌های در معرض خطر ارسال و داده‌های سرقت‌شده را از آن‌ها دریافت می‌کنند.

اکنون تیم تحقیقاتی زیمپریوم ۲۴۵ برنامه مخرب دیگر را کشف کرده که در مطالعات قبلی ذکر نشده بودند. این برنامه‌ها با همان گروهی که مسئول حملات قبلی بودند، مرتبطند. این بدافزارهای جدید نسبت به قبل، بانک‌های بیشتری را هدف قرار می‌دهند و برای جلوگیری از شناسایی شدن و موثرتر کردن حملات، روش‌های جدیدی دارند.

این نسخه‌های بدافزار در حال گسترش اهدافشان‌اند. آن‌ها ابتدا بر بانک‌های خاصی تمرکز داشتند، اما اکنون اهدافشان گسترش پیدا کرده‌اند. علاوه بر تمرکز این بدافزارها بر بانک‌های بیشتر، شواهد نشان می‌دهد که افراد پشت حملات در حال جمع‌آوری اطلاعات چندین برنامه کیف پول ارزهای دیجیتال‌اند و به احتمال زیاد، کیف پول‌های دیجیتال در آینده نزدیک هدف قرار خواهند گرفت. جدول زیر فهرست کامل برنامه‌های هدف این کارزار را نشان می‌دهد.

بدافزارهای بانکی چگونه از مجوزهای دستگاه سوءاستفاده می‌کنند؟

این بدافزارها از ویژگی‌های دسترس‌پذیری در دستگاه برای قرار دادن یک صفحه جعلی روی برنامه‌های بانکی قانونی استفاده می‌کنند. به این شکل که بدافزار یک صفحه جعلی مشابه صفحه ورود به سیستم اپلیکیشن‌ یک بانک ایجاد می‌کند و با استفاده از خدمات دسترسی که برای کمک به کاربران دارای معلولیت طراحی شده‌اند، این صفحه جعلی را بالای برنامه واقعی بانک قرار می‌دهد. وقتی کاربران اطلاعات کاربری و جزئیات کارت اعتباری‌شان را در اپلیکیشن‌ بانکشان وارد می‌کنند، در واقع این اطلاعات را در صفحه همپوشانی جعلی وارد می‌کنند. سپس بدافزار این اطلاعات را جمع آوری و به مهاجمان ارسال می‌کند.

این بدافزار همچنین از مخزن گیت‌هاب برای اشتراک‌گذاری جدیدترین آدرس‌های فیشینگ و سرور کنترل استفاده می‌کند تا در صورت حذف سایت‌های فیشینگ، آن‌ها را به‌سرعت به‌روزرسانی کند و از سرورهای فرمان و کنترل موقت برای توزیع پیوندهای فیشینگ فعال استفاده می‌کند تا از حذف سرور جلوگیری شود.

میزان سفارشی‌سازی این بدافزارها و تمرکز آن‌ها بر آسیب‌پذیری‌های دستگاه‌های مختلف نشانگر توسعه و پیشرفت این کارزار است.

این بدافزارها به اعطای مجوز دسترسی نیاز اساسی دارند و برای غلبه بر مانع قبول نشدن مجوز و ندادن دسترسی از سمت کاربر، به طور خاص دستگاه‌های شیائومی و سامسونگ را هدف قرار می‌دهند؛ زیرا مجوزهای این دستگاه‌ها را راحت‌تر می‌توان به دست آورد. در این حملات، هنگامی که دستگاه متعلق به شیائومی یا سامسونگ تشخیص داده شود، اقدام‌های خاصی مانند اعطای خودکار مجوزهای دسترسی به پیامک، جلوگیری از حذف بدافزار و کلیک‌های خودکار روی عناصر رابط کاربری انجام می‌شود. این اقدام‌ها بدافزار را قادر می‌کند فعالیت‌های مخرب را با کارایی بیشتری در این دستگاه‌های خاص انجام دهد.

این نوع حملات نشان می‌دهد مهاجمان رویکردشان را برای سوءاستفاده از آسیب‌پذیری‌ها یا ویژگی‌های خاص در نرم‌افزار این دستگاه‌ها تنظیم کرده‌اند. این سطح سفارشی‌سازی در بدافزارها شناسایی آن‌ها را خطرناک‌تر و سخت‌تر می‌کند. همچنین نشان‌دهنده گسترش تهدیدهای امنیت سایبری است که در آن مهاجمان برای هدف قرار دادن گروه‌ها یا فناوری‌های خاص، ابزارها و روش‌های تخصصی را توسعه می‌دهند.

حکومت ایران برای مجرمان سایبری فرش قرمز پهن می‌کند!

در حالی که مردم ایران با بحران گسترده افزایش بدافزارها دست‌وپنجه نرم می‌کنند، حکومت بیشتر بر سرکوب افرادی متمرکز شده است که هدفشان مبارزه با این تهدید دیجیتال است و هدف برجسته دولت به جای تدوین استراتژی‌هایی برای مبارزه با تهدیدهای سایبری، دستگیری فعالان و کارشناسانی است که تمرکزشان ایجاد امنیت و آرامش دیجیتال است؛ به عبارت دیگر، حکومت ایران در حال پهن کردن فرش قرمز برای مجرمان سایبری است و کسانی را که سعی در محافظت از مرزهای دیجیتال دارند، سرکوب می‌کند.

در سال‌های گذشته، پروژه‌ای مستقل با هدف رصد و مبارزه با بدافزارها فعالیت می‌کرد که بعد از مدتی به دستور مراجع قضایی ایران مسدود شد و در سال گذشته چند نفر از افراد فعال در این پروژه دستگیر شدند. پس از انتشار گزارش موسسه امنیتی زیمپریوم، یکی از فعالان سابق پروژه‌ مقابله با بدافزارها با ذکر این موضوع که وضعیت بدافزارها در ایران شدیدتر و پیچیده‌تر از قبل شده است، گفت که طبق شواهد، هکرها داخل ایران‌اند.

این سناریو تصویری تلخ از چشم‌انداز امنیت سایبری در ایران ترسیم می‌کند؛ جایی که انفعال حکومت موضوع حیاتی گسترش بدافزار و ناامنی دیجیتال را تشدید می‌کند.

برگرفته ای از سایت ایندیپندنت فارسی، ۶ دسامبر ۲۰۲۳