حمله هکرها به همراه بانک های ایرانی

شرکت امنیت سایبری SophosLabs می‌گوید مشتریان چهار بانک ایرانی در یک حمله سایبری گسترده هدف حمله هکرها قرار داشته‌اند.

محققان امنیت سایبری شرکت SophosLabs چهار اپلیکیشن حاوی بدافزار را کشف کرده‌اند که خود را به‌ جای چهار بانک ایرانی ملت، صادرات، رسالت و مرکزی جا زده و ماه‌ها به گردآوری اطلاعات حساس کاربران و سوءاستفاده از آن‌ها مشغول بوده‌اند.

براساس گزارشی که در وب‌سایت «Sophos» منتشر شده است، چهار اپلیکیشن جعلی که از گواهی مسروقه اپ‌های اندرویدی استفاده می‌کردند، در حد فاصل ماه دسامبر ۲۰۲۲ (آذر-دی ۱۴۰۱) تا مه ۲۰۲۳ (اردیبهشت-خرداد ۱۴۰۲) مشتریان این بانک‌ها را هدف قرار داده بودند.

این اپلیکیشن‌ها ظاهراً اطلاعات احراز هویت مشتریان بانک‌ها و اطلاعات کارت‌های بانکی افراد را سرقت کرده‌اند. این بدافزارها قادر بودند اطلاعات پیامک‌ها را بخوانند و آیکن خود را مخفی کنند.

محققان SophosLabs می‌گویند این اپ‌های جعلی پس از نصب، پیامی را به کاربر نشان داده و درخواست دسترسی به پیامک‌ها را می‌کردند. پس از دریافت مجوز، صفحه ورود به همراه بانک را به نمایش می‌گذاشتند. زمانی که کاربر اطلاعات خود را وارد می‌کرد، داده‌ها به یک سرور فرمان و کنترل (C2) ارسال و تاریخ تولد کاربر از او پرسیده می‌شد.

سپس پیام خطایی روی صفحه ظاهر می‌شد که می‌گفت درخواست ورود او ارسال شده است و برای فعال‌سازی حساب خود باید ۲۴ ساعت منتظر بماند. درنتیجه مهاجمان فرصت داشتند از این داده‌ها سوءاستفاده کنند یا آن‌ها را بفروشند.

SophosLabs می‌گوید این اپ‌های جعلی روی دامنه‌هایی نسبتاً جدید برای دانلود بارگذاری شده بودند که از بعضی از آن‌ها به‌عنوان سرور C2 هم استفاده می‌شد. برخی از همین دامنه‌ها برای فیشینگ نیز به‌کار گرفته می‌شدند. بااین‌حال، مشخص نیست که مهاجمان چگونه کاربران را مجاب می‌کردند تا از این سایت‌ها اپ‌های بانکی جعلی را دانلود کنند.

اگرچه این سایت‌ها اکنون از کار افتاده‌اند، اما برخی از سرورهای C2 آن‌ها همچنان فعالند. SophosLabs توضیح می‌دهد که حداقل یکی از این سرورها احتمالاً وب‌سرور دانشگاه کوثر بوده است که مهاجمان آن را تحت کنترل خود درآورده بودند و ظاهراً هنوز بخشی از کد backend سرور C2 آن‌ها به‌صورت فایل‌های PHP در آنجا قرار دارد.

بررسی‌های این شرکت همچنین نشان می‌دهد که هکرها در گوشی قربانی به‌دنبال چند اپلیکیشن بانکی و مالی دیگر مثل اپ‌های بانک ملی، بانک سپه، بانک پاسارگاد، بانک تجارت، بانک رفاه، بلوبانک، تترلند، نوبیتکس، کوینکس، بیت‌پین و دیجی‌پی هم می‌گشتند. در پایان جستجو، نتیجه کار به سرور C2 ارسال می‌شد، اما اتفاق بیشتری رخ نمی‌داد. درنتیجه این احتمال مطرح است که در آینده حملات بیشتری در راه باشد.

منبع:

https://www.aftana.ir/news/21200/