حمله هکرها به همراه بانک های ایرانی
شرکت امنیت سایبری SophosLabs میگوید مشتریان چهار بانک ایرانی در یک حمله سایبری گسترده هدف حمله هکرها قرار داشتهاند.
محققان امنیت سایبری شرکت SophosLabs چهار اپلیکیشن حاوی بدافزار را کشف کردهاند که خود را به جای چهار بانک ایرانی ملت، صادرات، رسالت و مرکزی جا زده و ماهها به گردآوری اطلاعات حساس کاربران و سوءاستفاده از آنها مشغول بودهاند.
براساس گزارشی که در وبسایت «Sophos» منتشر شده است، چهار اپلیکیشن جعلی که از گواهی مسروقه اپهای اندرویدی استفاده میکردند، در حد فاصل ماه دسامبر ۲۰۲۲ (آذر-دی ۱۴۰۱) تا مه ۲۰۲۳ (اردیبهشت-خرداد ۱۴۰۲) مشتریان این بانکها را هدف قرار داده بودند.
این اپلیکیشنها ظاهراً اطلاعات احراز هویت مشتریان بانکها و اطلاعات کارتهای بانکی افراد را سرقت کردهاند. این بدافزارها قادر بودند اطلاعات پیامکها را بخوانند و آیکن خود را مخفی کنند.
محققان SophosLabs میگویند این اپهای جعلی پس از نصب، پیامی را به کاربر نشان داده و درخواست دسترسی به پیامکها را میکردند. پس از دریافت مجوز، صفحه ورود به همراه بانک را به نمایش میگذاشتند. زمانی که کاربر اطلاعات خود را وارد میکرد، دادهها به یک سرور فرمان و کنترل (C2) ارسال و تاریخ تولد کاربر از او پرسیده میشد.
سپس پیام خطایی روی صفحه ظاهر میشد که میگفت درخواست ورود او ارسال شده است و برای فعالسازی حساب خود باید ۲۴ ساعت منتظر بماند. درنتیجه مهاجمان فرصت داشتند از این دادهها سوءاستفاده کنند یا آنها را بفروشند.
SophosLabs میگوید این اپهای جعلی روی دامنههایی نسبتاً جدید برای دانلود بارگذاری شده بودند که از بعضی از آنها بهعنوان سرور C2 هم استفاده میشد. برخی از همین دامنهها برای فیشینگ نیز بهکار گرفته میشدند. بااینحال، مشخص نیست که مهاجمان چگونه کاربران را مجاب میکردند تا از این سایتها اپهای بانکی جعلی را دانلود کنند.
اگرچه این سایتها اکنون از کار افتادهاند، اما برخی از سرورهای C2 آنها همچنان فعالند. SophosLabs توضیح میدهد که حداقل یکی از این سرورها احتمالاً وبسرور دانشگاه کوثر بوده است که مهاجمان آن را تحت کنترل خود درآورده بودند و ظاهراً هنوز بخشی از کد backend سرور C2 آنها بهصورت فایلهای PHP در آنجا قرار دارد.
بررسیهای این شرکت همچنین نشان میدهد که هکرها در گوشی قربانی بهدنبال چند اپلیکیشن بانکی و مالی دیگر مثل اپهای بانک ملی، بانک سپه، بانک پاسارگاد، بانک تجارت، بانک رفاه، بلوبانک، تترلند، نوبیتکس، کوینکس، بیتپین و دیجیپی هم میگشتند. در پایان جستجو، نتیجه کار به سرور C2 ارسال میشد، اما اتفاق بیشتری رخ نمیداد. درنتیجه این احتمال مطرح است که در آینده حملات بیشتری در راه باشد.
منبع: