بانکداری و پرداخت الکترونیک

فناوری اطلاعات

July 30, 2023
13:47 یکشنبه، 8ام مردادماه 1402
کد خبر: 148044

شرکت امنیتی Sophos: هکرها با اپ‌های جعلی، مشتریان بانک‌های ایرانی را هدف قرار داده بودند

شرکت امنیت سایبری سوفوس‌لبز می‌گوید مشتریان چهار بانک ایرانی در یک حمله سایبری گسترده هدف حمله هکرها قرار داشته‌اند.
 
محققان امنیت سایبری شرکت SophosLabs چهار اپلیکیشن حاوی بدافزار را کشف کرده‌اند که خود را به‌جای چهار بانک ایرانی ملت، صادرات، رسالت و مرکزی جا زده و ماه‌ها به گردآوری اطلاعات حساس کاربران و سوءاستفاده از آن‌ها مشغول بوده‌اند.
 
براساس گزارشی که در وب‌سایت «سوفوس» منتشر شده است، چهار اپلیکیشن جعلی که از گواهی مسروقه اپ‌های اندرویدی استفاده می‌کردند، در حد فاصل ماه دسامبر 2022 (آذر-دی 1401) تا مه 2023 (اردیبهشت-خرداد 1402) مشتریان این بانک‌ها را هدف قرار داده بودند.
 
این اپلیکیشن‌ها ظاهراً اطلاعات احراز هویت مشتریان بانک‌ها و اطلاعات کارت‌های بانکی افراد را سرقت کرده‌اند. این بدافزارها قادر بودند اطلاعات پیامک‌ها را بخوانند و آیکن خود را مخفی کنند.
 
 
محققان سوفوس‌لبز می‌گویند این اپ‌های جعلی پس از نصب، پیامی را به کاربر نشان داده و درخواست دسترسی به پیامک‌ها را می‌کردند. پس از دریافت مجوز، صفحه ورود به همراه بانک را به نمایش می‌گذاشتند. زمانی که کاربر اطلاعات خود را وارد می‌کرد، داده‌ها به یک سرور فرمان و کنترل (C2) ارسال و تاریخ تولد کاربر از او پرسیده می‌شد.
 
 
سپس پیام خطایی روی صفحه ظاهر می‌شد که می‌گفت درخواست ورود او ارسال شده است و برای فعال‌سازی حساب خود باید 24 ساعت منتظر بماند. درنتیجه مهاجمان فرصت داشتند از این داده‌ها سوءاستفاده کنند یا آن‌ها را بفروشند.
 
سوفوس‌لبز می‌گوید این اپ‌های جعلی روی دامنه‌هایی نسبتاً جدید برای دانلود بارگذاری شده بودند که از بعضی از آن‌ها به‌عنوان سرور C2 هم استفاده می‌شد. برخی از همین دامنه‌ها برای فیشینگ نیز به‌کار گرفته می‌شدند. بااین‌حال، مشخص نیست که مهاجمان چگونه کاربران را مجاب می‌کردند تا از این سایت‌ها اپ‌های بانکی جعلی را دانلود کنند.
 
 
اگرچه این سایت‌ها اکنون از کار افتاده‌اند، اما برخی از سرورهای C2 آن‌ها همچنان فعالند. سوفوس‌لبز توضیح می‌دهد که حداقل یکی از این سرورها احتمالاً وب‌سرور دانشگاه کوثر بوده است که مهاجمان آن را تحت کنترل خود درآورده بودند و ظاهراً هنوز بخشی از کد بک‌اند سرور C2 آن‌ها به‌صورت فایل‌های PHP در آنجا قرار دارد.
 
بررسی‌های این شرکت همچنین نشان می‌دهد که هکرها در گوشی قربانی به‌دنبال چند اپلیکیشن بانکی و مالی دیگر مثل اپ‌های بانک ملی، بانک سپه، بانک پاسارگاد، بانک تجارت، بانک رفاه، بلوبانک، تترلند، نوبیتکس، کوینکس، بیت‌پین و دیجی‌پی هم می‌گشتند. در پایان جستجو، نتیجه کار به سرور C2 ارسال می‌شد، اما اتفاق بیشتری رخ نمی‌داد. درنتیجه این احتمال مطرح است که در آینده حملات بیشتری در راه باشد.
 
پیگیری‌های دیجیاتو از بانک مرکزی برای واکنش به گزارش شرکت امنیت سایبری Sophos تا به این لحظه نتیجه‌ای در بر نداشته است.
  • مشترک شوید!

    برای عضویت در خبرنامه روزانه ایستنا؛ نشانی پست الکترونیکی خود را در فرم زیر وارد نمایید. پس از آن به صورت خودکار ایمیلی به نشانی شما ارسال میشود، برای تکمیل عضویت خود و تایید صحت نشانی پست الکترونیک وارد شده، می بایست بر روی لینکی که در این ایمیل برایتان ارسال شده کلیک نمایید. پس از آن پیامی مبنی بر تکمیل عضویت شما در خبرنامه روزانه ایستنا نمایش داده میشود.

    با عضویت در خبرنامه پیامکی آژانس خبری فناوری اطلاعات و ارتباطات (ایستنا) به طور روزانه آخرین اخبار، گزارشها و تحلیل های حوزه فناوری اطلاعات و ارتباطات را در هر لحظه و هر کجا از طریق پیام کوتاه دریافت خواهید کرد. برای عضویت در این خبرنامه، مشترکین سیمکارت های همراه اول لازم است عبارت 150 را به شماره 201464 و مشترکین سیمکارت های ایرانسل عبارت ozv ictn را به شماره ۸۲۸۲ ارسال کنند. دریافت موفق هر بسته خبری که محتوی پیامکی با حجم ۵پیامک بوده و ۴ تا ۶ عنوان خبری را شامل میشود، ۳۵۰ ریال برای مشترک هزینه در بردارد که در صورتحساب ارسالی از سوی اپراتور مربوطه محاسبه و از اعتبار موجود در حساب مشترکین سیمکارت های دائمی کسر میشود. بخشی از این درآمد این سرویس از سوی اپراتور میزبان شما به ایستنا پرداخت میشود. مشترکین در هر لحظه براساس دستورالعمل اعلامی در پایان هر بسته خبری قادر خواهند بود اشتراک خود را در این سرویس لغو کنند. هزینه دریافت هر بسته خبری برای مشترکین صرفا ۳۵۰ ریال خواهد بود و این هزینه برای مشترکین در حال استفاده از خدمات رومینگ بین الملل اپراتورهای همراه اول و ایرانسل هم هزینه اضافه ای در بر نخواهد داشت.