مراقب باشید؛ این یک کمپین بزرگ بدافزاری علیه کاربران بزرگترین بانکهای ایرانی است
همراهبانکهای سپه، ملت، تجارت، شهر، ملی، پاسارگاد و بلو که روی گوشی اندرویدی شما نصب شدهاند، ممکن است آلوده به یک بدافزار امنیتی باشند.
اگر گوشی موبایل اندرویدی، بهویژه برند سامسونگ یا شیائومی، دارید و در بانکهای مذکور حساب دارید، باید مراقب اپلیکیشنهای همراهبانکی باشید که روی گوشی خود نصب میکنید؛ چراکه اصلاً بعید نیست اپلیکیشن بانکی شما نسخه جعلی همراهبانک باشد.
یافتههای یک شرکت امنیت سایبری بینالمللی به نام Zimperium نشان میدهد اگر نسخه اپلیکیشن بانکی مربوط به بانکهای سپه، ملت، تجارت، شهر، ملی، پاسارگاد و بلو را از منابع معتبری، مثل مارکتپلیس بازار یا وبسایتهای خود بانکها دانلود و نصب نکرده باشید، به احتمال زیاد یک نسخه جعلی از آن اپلیکیشن را دریافت کردهاید و به همین سادگی امنیت دستگاه و امنیت اطلاعات شخصی و بانکی خود را به خطر انداختهاید.
محققان شرکت Zimperium در یک پروژه تحقیقاتی بیش از ۲۰۰ اپلیکیشن جعلی تلفن همراه را کشف کردهاند که با تقلید از اپلیکیشن همراهبانک بانکهای بزرگ ایرانی، اطلاعات مشتریان خود را به روشهای مختلفی به سرقت میبرند.
در ابتدا، عامل تهدید پشت این کمپین، ۴۰ اپلیکیشن را به تقلید از چهار بانک بزرگ ایرانی، از جمله بانک ملت، بانک صادرات، بانک رسالت و بانک مرکزی ایران ایجاد کرده بود. یافتههای Zimperium نشان میدهد اولین کمپین از دسامبر ۲۰۲۲ (آذر و دی ۱۴۰۱) تا می ۲۰۲۳ (اردیبهشت و خرداد ۱۴۰۲) انجام شده است.
بر اساس اطلاعاتی که شرکت Zimperium منتشر کرده، در ادامه هم کمپینی در جولای سال جاری (تیر و مرداد ۱۴۰۲) کشف شده است که در حدود چهار ماه گذشته این گروه از مجرمان سایبری آن را ادامه داده و قابلیتها و راهکارهای خود برای انجام این جرایم سایبری و سرقت اطلاعات را گسترش دادهاند.
روش این گروه برای اجرای این کمپین به این شکل است که از نسخههای قانونی و رسمی اپهای بانکی، که در مارکتپلیس کافه بازار وجود دارد، تقلید کرده و آنها را از طریق چندین وبسایت فیشینگ توزیع میکنند. نوع سوءاستفادههایی که از این اپلیکیشنها و دادههای آن انجام میشود متفاوت است.
نسخههای قبلی برنامههای جعلی این امکان را به هکرها میدادند که اطلاعات ورود به سیستم بانکی و اطلاعات کارت اعتباری را سرقت کنند. علاوه بر این، آنها میتوانستند ترافیک پیام کوتاه کاربران این اپها را رهگیری کنند تا گذرواژههای یکبار مصرف مورد استفاده برای احراز هویت را به سرقت ببرند. یکی دیگر از امکاناتی که این نسخههای غیر رسمی به هکرها میدادند این بود که امکان پاک کردن اپلیکیشن نصبشده را پنهان کرده و بنابراین، از حذف برنامه جلوگیری میکردند.
سرهنگ داوود معظمی گودرزی، رئیس پلیس فتای تولید و تبادل اطلاعات تهران، درباره این کمپین بدافزاری اعلام کرد: تنها راه قربانی نشدن در این مسیر این است که افراد نرمافزارهای همراهبانک را از مراجع رسمی دانلود و نصب کنند.
هدف حمله بعدی: کیف پول ارز دیجیتال
آخرین یافتههای Zimperium نشان میدهد شیوههای هجوم هکرها و سوءاستفادهشان از گوشی و اطلاعات کاربران همچنان در حال توسعه و تکمیل است. آنها از یک طرف، مجموعه گستردهتری از بانکها و برنامههای کیف پول ارزهای دیجیتال را هدف هجوم خود قرار میدهند و از سوی دیگر ویژگیهای غیرمستند و اقدامات قبلی خود برای سرقت اطلاعات و سوءاستفاده از کاربران را دائما تقویت میکند. در یک کمپین جدید، هکرها قابلیتهای بیشتری را به بدافزار خود اضافه کردند تا جمعآوری اعتبار و سرقت دادهها را آسانتر کنند.
روشهای دیگری هم برای این سرقت اطلاعات یا هر نوع سوء استفاده دیگری از گوشی موبایل کاربر وجود دارد. محققان میگویند که در برخی از انواع این بدافزار برای دسترسی به فایل README در مخازن GitHub و برای استخراج نسخه کدگذاری شده با Base64 از سرور فرمان و کنترل (C2)، URLهای فیشینگ را پیدا کردهاند.
البته یک روش مهم و قابل توجه دیگر هم وجود دارد. این هکرها از سرورهای C2 میانی برای میزبانی فایلهای متنی استفاده میکنند که حاوی رشتههای رمزگذاریشده به سایتهای فیشینگ هستند.
محققان Zimperium اعلام کردهاند: «کمپینهای فیشینگ مورد استفاده پیچیده هستند و سعی میکنند سایتهای اصلی را با جزئیات تقلید کنند.» اطلاعات دزدیدهشده توسط سایتهای فیشینگ به کانالهای تلگرامی که در دست هکرها است، ارسال میشود. البته هنوز مشخص نیست چه تعداد از کاربران هدف این حمله و سرقت اطلاعاتی قرار گرفتهاند.
اطلاعاتی که از سایتهای فیشینگ به کانالهای تلگرامی منتقل میشود شامل شماره حساب کاربران، مدل دستگاه و آدرسهای IP آنها میشود. البته محققان گفتهاند: «مشخص است که بدافزارهای مدرن در حال پیچیدهتر شدن هستند و اهداف بیشتری را هم در نظر دارند، بنابراین محافظت از اپلیکیشنهایی که روی گوشی نصب میشود بسیار مهم است.»
کمپین بدافزاری همچنان در حال پیشرفت است
به گفته محققان، برنامههای مخربی که در حال حاضر از همراهبانک تعدادی از بانکهای ایرانی تقلید میکنند پس از نصب، گوشی موبایل کاربران را اسکن میکنند تا اپلیکیشنهای کیف پول ارزهای دیجیتال را پیدا کنند. این موضوع تهدیدی برای پلتفرمهای ارز دیجیتال است و نشان میدهد احتمالاً هدف بعدی این کارزار بدافزاری نفوذ به این پلتفرمها و کیف پول ارز دیجیتال کاربران است تا در آینده آنها را هدف قرار دهد.
شرکت امنیت سایبری Zimperium در اطلاعاتی که منتشر کرده به چند اپلیکیشن فعال در حوزه ارز دیجیتال اشاره کرده است که ممکن است نصب نسخه جعلی آنها برای کاربران دردسرساز شود و امنیت اطلاعات آنها را به خطر بیندازد. این چند پلتفرم در ادامه ذکر شدهاند: