هشدار به کاربران ایرانی گوشی‌های شیائومی و سامسونگ؛ اعلام فهرست برنامه‌های هدف تروجان‌های بانکی!

به گزارش سیتنا به نقل از ایندیپندنت، در سال‌های اخیر، ایران پیوسته در فهرست کشورهایی که بیشترین آلودگی به بدافزار را دارند، قرار گرفته است. موسسه امنیتی زیمپریوم که فعالیت آن بر امنیت تلفن‌های همراه متمرکز است، طی گزارشی در ژوییه ۲۰۲۳، یک کارزار متشکل از تروجان‌های بانکی متمرکز بر تلفن‌های اندرویدی را کشف کرد که کاربران ایرانی را هدف قرار می‌دادند. تیم تحقیقاتی زیمپریوم اخیرا دریافت که فعالیت‌های این کارزار نه‌تنها متوقف نشده، بلکه قابلیت‌های آن گسترش یافته است.

در تحقیقات قبلی، ۴۰ اپلیکیشن‌ جعلی بانک ملت، بانک صادرات، بانک رسالت و بانک مرکزی کشف شدند که از دسامبر ۲۰۲۲ تا مه ۲۰۲۳ فعال بودند و امکان سرقت اطلاعات ورود به سامانه بانکی، سرقت اطلاعات کارت بانکی، پنهان کردن برنامه به منظور جلوگیری از حذف و رهگیری کدهای پویا و دسترسی به پیامک را فراهم می‌کردند. این اپلیکیشن‌ها از نسخه‌های قانونی موجود در کافه بازار تقلید می‌کردند و از طریق چندین وب‌سایت فیشینگ که برخی از آن‌ها به عنوان سرورهای فرمان و کنترل عمل می‌کردند، توزیع می‌شدند.

سرورهای فرمان و کنترل (C&C) سرورهای متمرکزی‌اند که مهاجمان از آن‌ها برای کنترل از راه دور دستگاه‌های آلوده به بدافزار استفاده می‌کنند. این سرورها دستورهایی را به دستگاه‌های در معرض خطر ارسال و داده‌های سرقت‌شده را از آن‌ها دریافت می‌کنند.

اکنون تیم تحقیقاتی زیمپریوم ۲۴۵ برنامه مخرب دیگر را کشف کرده که در مطالعات قبلی ذکر نشده بودند. این برنامه‌ها با همان گروهی که مسئول حملات قبلی بودند، مرتبط اند. این بدافزارهای جدید نسبت به قبل، بانک‌های بیشتری را هدف قرار می‌دهند و برای جلوگیری از شناسایی شدن و موثرتر کردن حملات، روش‌های جدیدی دارند.

این نسخه‌های بدافزار در حال گسترش اهدافشان‌اند. آن‌ها ابتدا بر بانک‌های خاصی تمرکز داشتند، اما اکنون اهدافشان گسترش پیدا کرده‌اند. علاوه بر تمرکز این بدافزارها بر بانک‌های بیشتر، شواهد نشان می‌دهد که افراد پشت حملات در حال جمع‌آوری اطلاعات چندین برنامه کیف پول ارزهای دیجیتال‌اند و به احتمال زیاد، کیف پول‌های دیجیتال در آینده نزدیک هدف قرار خواهند گرفت. جدول زیر فهرست کامل برنامه‌های هدف این کارزار را نشان می‌دهد.

این بدافزارها از ویژگی‌های دسترس‌پذیری در دستگاه برای قرار دادن یک صفحه جعلی روی برنامه‌های بانکی قانونی استفاده می‌کنند. به این شکل که بدافزار یک صفحه جعلی مشابه صفحه ورود به سیستم اپلیکیشن‌ یک بانک ایجاد می‌کند و با استفاده از خدمات دسترسی که برای کمک به کاربران دارای معلولیت طراحی شده‌اند، این صفحه جعلی را بالای برنامه واقعی بانک قرار می‌دهد. وقتی کاربران اطلاعات کاربری و جزئیات کارت اعتباری‌شان را در اپلیکیشن‌ بانکشان وارد می‌کنند، در واقع این اطلاعات را در صفحه همپوشانی جعلی وارد می‌کنند. سپس بدافزار این اطلاعات را جمع آوری و به مهاجمان ارسال می‌کند.

این بدافزار همچنین از مخزن گیت‌هاب برای اشتراک‌گذاری جدیدترین آدرس‌های فیشینگ و سرور کنترل استفاده می‌کند تا در صورت حذف سایت‌های فیشینگ، آن‌ها را به‌سرعت به‌روزرسانی کند و از سرورهای فرمان و کنترل موقت برای توزیع پیوندهای فیشینگ فعال استفاده می‌کند تا از حذف سرور جلوگیری شود. میزان سفارشی‌سازی این بدافزارها و تمرکز آن‌ها بر آسیب‌پذیری‌های دستگاه‌های مختلف نشانگر توسعه و پیشرفت این کارزار است.

این بدافزارها به اعطای مجوز دسترسی نیاز اساسی دارند و برای غلبه بر مانع قبول نشدن مجوز و ندادن دسترسی از سمت کاربر، به طور خاص دستگاه‌های شیائومی و سامسونگ را هدف قرار می‌دهند؛ زیرا مجوزهای این دستگاه‌ها را راحت‌تر می‌توان به دست آورد. در این حملات، هنگامی که دستگاه متعلق به شیائومی یا سامسونگ تشخیص داده شود، اقدام‌های خاصی مانند اعطای خودکار مجوزهای دسترسی به پیامک، جلوگیری از حذف بدافزار و کلیک‌های خودکار روی عناصر رابط کاربری انجام می‌شود. این اقدام‌ها بدافزار را قادر می‌کند فعالیت‌های مخرب را با کارایی بیشتری در این دستگاه‌های خاص انجام دهد.

این نوع حملات نشان می‌دهد مهاجمان رویکردشان را برای سوءاستفاده از آسیب‌پذیری‌ها یا ویژگی‌های خاص در نرم‌افزار این دستگاه‌ها تنظیم کرده‌اند. این سطح سفارشی‌سازی در بدافزارها شناسایی آن‌ها را خطرناک‌تر و سخت‌تر می‌کند. همچنین نشان‌دهنده گسترش تهدیدهای امنیت سایبری است که در آن مهاجمان برای هدف قرار دادن گروه‌ها یا فناوری‌های خاص، ابزارها و روش‌های تخصصی را توسعه می‌دهند.

انتهای پیام