هشدار به کاربران ایرانی گوشیهای شیائومی و سامسونگ؛ اعلام فهرست برنامههای هدف تروجانهای بانکی!
موسسات امنیتی بین المللی طی ماههای اخیر تروجانهای بانکی متمرکز بر تلفنهای اندرویدی را کشف کرد که کاربران ایرانی دستگاههای شیائومی و سامسونگ را هدف قرار داده اند. شواهد نشان میدهد که این نسخههای بدافزار با گسترش اهدافشان، در حال جمعآوری اطلاعات چندین برنامه کیف پول ارزهای دیجیتالاند.
به گزارش سیتنا به نقل از ایندیپندنت، در سالهای اخیر، ایران پیوسته در فهرست کشورهایی که بیشترین آلودگی به بدافزار را دارند، قرار گرفته است. موسسه امنیتی زیمپریوم که فعالیت آن بر امنیت تلفنهای همراه متمرکز است، طی گزارشی در ژوییه ۲۰۲۳، یک کارزار متشکل از تروجانهای بانکی متمرکز بر تلفنهای اندرویدی را کشف کرد که کاربران ایرانی را هدف قرار میدادند. تیم تحقیقاتی زیمپریوم اخیرا دریافت که فعالیتهای این کارزار نهتنها متوقف نشده، بلکه قابلیتهای آن گسترش یافته است.
در تحقیقات قبلی، ۴۰ اپلیکیشن جعلی بانک ملت، بانک صادرات، بانک رسالت و بانک مرکزی کشف شدند که از دسامبر ۲۰۲۲ تا مه ۲۰۲۳ فعال بودند و امکان سرقت اطلاعات ورود به سامانه بانکی، سرقت اطلاعات کارت بانکی، پنهان کردن برنامه به منظور جلوگیری از حذف و رهگیری کدهای پویا و دسترسی به پیامک را فراهم میکردند. این اپلیکیشنها از نسخههای قانونی موجود در کافه بازار تقلید میکردند و از طریق چندین وبسایت فیشینگ که برخی از آنها به عنوان سرورهای فرمان و کنترل عمل میکردند، توزیع میشدند.
سرورهای فرمان و کنترل (C&C) سرورهای متمرکزیاند که مهاجمان از آنها برای کنترل از راه دور دستگاههای آلوده به بدافزار استفاده میکنند. این سرورها دستورهایی را به دستگاههای در معرض خطر ارسال و دادههای سرقتشده را از آنها دریافت میکنند.
اکنون تیم تحقیقاتی زیمپریوم ۲۴۵ برنامه مخرب دیگر را کشف کرده که در مطالعات قبلی ذکر نشده بودند. این برنامهها با همان گروهی که مسئول حملات قبلی بودند، مرتبط اند. این بدافزارهای جدید نسبت به قبل، بانکهای بیشتری را هدف قرار میدهند و برای جلوگیری از شناسایی شدن و موثرتر کردن حملات، روشهای جدیدی دارند.
این نسخههای بدافزار در حال گسترش اهدافشاناند. آنها ابتدا بر بانکهای خاصی تمرکز داشتند، اما اکنون اهدافشان گسترش پیدا کردهاند. علاوه بر تمرکز این بدافزارها بر بانکهای بیشتر، شواهد نشان میدهد که افراد پشت حملات در حال جمعآوری اطلاعات چندین برنامه کیف پول ارزهای دیجیتالاند و به احتمال زیاد، کیف پولهای دیجیتال در آینده نزدیک هدف قرار خواهند گرفت. جدول زیر فهرست کامل برنامههای هدف این کارزار را نشان میدهد.
این بدافزارها از ویژگیهای دسترسپذیری در دستگاه برای قرار دادن یک صفحه جعلی روی برنامههای بانکی قانونی استفاده میکنند. به این شکل که بدافزار یک صفحه جعلی مشابه صفحه ورود به سیستم اپلیکیشن یک بانک ایجاد میکند و با استفاده از خدمات دسترسی که برای کمک به کاربران دارای معلولیت طراحی شدهاند، این صفحه جعلی را بالای برنامه واقعی بانک قرار میدهد. وقتی کاربران اطلاعات کاربری و جزئیات کارت اعتباریشان را در اپلیکیشن بانکشان وارد میکنند، در واقع این اطلاعات را در صفحه همپوشانی جعلی وارد میکنند. سپس بدافزار این اطلاعات را جمع آوری و به مهاجمان ارسال میکند.
این بدافزار همچنین از مخزن گیتهاب برای اشتراکگذاری جدیدترین آدرسهای فیشینگ و سرور کنترل استفاده میکند تا در صورت حذف سایتهای فیشینگ، آنها را بهسرعت بهروزرسانی کند و از سرورهای فرمان و کنترل موقت برای توزیع پیوندهای فیشینگ فعال استفاده میکند تا از حذف سرور جلوگیری شود. میزان سفارشیسازی این بدافزارها و تمرکز آنها بر آسیبپذیریهای دستگاههای مختلف نشانگر توسعه و پیشرفت این کارزار است.
این بدافزارها به اعطای مجوز دسترسی نیاز اساسی دارند و برای غلبه بر مانع قبول نشدن مجوز و ندادن دسترسی از سمت کاربر، به طور خاص دستگاههای شیائومی و سامسونگ را هدف قرار میدهند؛ زیرا مجوزهای این دستگاهها را راحتتر میتوان به دست آورد. در این حملات، هنگامی که دستگاه متعلق به شیائومی یا سامسونگ تشخیص داده شود، اقدامهای خاصی مانند اعطای خودکار مجوزهای دسترسی به پیامک، جلوگیری از حذف بدافزار و کلیکهای خودکار روی عناصر رابط کاربری انجام میشود. این اقدامها بدافزار را قادر میکند فعالیتهای مخرب را با کارایی بیشتری در این دستگاههای خاص انجام دهد.
این نوع حملات نشان میدهد مهاجمان رویکردشان را برای سوءاستفاده از آسیبپذیریها یا ویژگیهای خاص در نرمافزار این دستگاهها تنظیم کردهاند. این سطح سفارشیسازی در بدافزارها شناسایی آنها را خطرناکتر و سختتر میکند. همچنین نشاندهنده گسترش تهدیدهای امنیت سایبری است که در آن مهاجمان برای هدف قرار دادن گروهها یا فناوریهای خاص، ابزارها و روشهای تخصصی را توسعه میدهند.
انتهای پیام
افزودن دیدگاه جدید