کاربران ایرانی، هدف بدافزارهای بانکی تلفن همراه

این بدافزارها از ویژگی‌های دسترس‌پذیری در دستگاه برای قرار دادن یک صفحه جعلی روی برنامه‌های بانکی قانونی استفاده می‌کنند

فرزانه طاهری

دنیای پردازش آنلاین: در سال‌های اخیر، ایران پیوسته در فهرست کشورهایی که بیشترین آلودگی به بدافزار را دارند، قرار گرفته است. این آمار نگران‌کننده آسیب‌پذیری‌هایی را که مردم ایران با آن‌ها مواجه‌اند، نشان می‌دهد. یکی از دلایل اصلی این مشکل، مسدودسازی دسترسی به فروشگاه‌های امن دانلود است. این رویکرد گوشی‌های همراه ایرانیان را به بستری مناسب برای تکثیر بدافزار تبدیل کرده است.

به گزارش independent در آخرین مورد کشف‌شده، یک کارزار پیچیده بدافزار بانکداری تلفن همراه به طور خاص کاربران ایرانی را به شکلی گسترده هدف قرار داد.

موسسه امنیتی زیمپریوم که فعالیت آن بر امنیت تلفن‌های همراه متمرکز است، طی گزارشی در ژوییه ۲۰۲۳، یک کارزار متشکل از تروجان‌های بانکی متمرکز بر تلفن‌های اندرویدی را کشف کرد که کاربران ایرانی را هدف قرار می‌دادند. تیم تحقیقاتی زیمپریوم اخیرا دریافت که فعالیت‌های این کارزار نه‌تنها متوقف نشده، بلکه قابلیت‌های آن گسترش یافته است.

روش فعالیت این کارزار بدافزارهای بانکی به چه صورت است؟

در تحقیقات قبلی، ۴۰ اپلیکیشن‌ جعلی بانک ملت، بانک صادرات، بانک رسالت و بانک مرکزی کشف شدند که از دسامبر ۲۰۲۲ تا مه ۲۰۲۳ فعال بودند و امکان سرقت اطلاعات ورود به سامانه بانکی، سرقت اطلاعات کارت بانکی، پنهان کردن برنامه به منظور جلوگیری از حذف و رهگیری کدهای پویا و دسترسی به پیامک را فراهم می‌کردند. این اپلیکیشن‌ها از نسخه‌های قانونی موجود در کافه بازار تقلید می‌کردند و از طریق چندین وب‌سایت فیشینگ که برخی از آن‌ها به عنوان سرورهای فرمان و کنترل عمل می‌کردند، توزیع می‌شدند.

سرورهای فرمان و کنترل (C&C) سرورهای متمرکزی‌اند که مهاجمان از آن‌ها برای کنترل از راه دور دستگاه‌های آلوده به بدافزار استفاده می‌کنند. این سرورها دستورهایی را به دستگاه‌های در معرض خطر ارسال و داده‌های سرقت‌شده را از آن‌ها دریافت می‌کنند.

اکنون تیم تحقیقاتی زیمپریوم ۲۴۵ برنامه مخرب دیگر را کشف کرده که در مطالعات قبلی ذکر نشده بودند. این برنامه‌ها با همان گروهی که مسؤول حملات قبلی بودند، مرتبطند. این بدافزارهای جدید نسبت به قبل، بانک‌های بیشتری را هدف قرار می‌دهند و برای جلوگیری از شناسایی شدن و مؤثرتر کردن حملات، روش‌های جدیدی دارند.

این نسخه‌های بدافزار در حال گسترش اهدافشان‌اند. آن‌ها ابتدا بر بانک‌های خاصی تمرکز داشتند، اما اکنون اهدافشان گسترش پیدا کرده‌اند. علاوه بر تمرکز این بدافزارها بر بانک‌های بیشتر، شواهد نشان می‌دهد که افراد پشت حملات در حال جمع‌آوری اطلاعات چندین برنامه کیف پول ارزهای دیجیتال‌اند و به احتمال زیاد، کیف پول‌های دیجیتال در آینده نزدیک هدف قرار خواهند گرفت. جدول زیر فهرست کامل برنامه‌های هدف این کارزار را نشان می‌دهد.

بدافزارهای بانکی چگونه از مجوزهای دستگاه سوءاستفاده می‌کنند؟

این بدافزارها از ویژگی‌های دسترس‌پذیری در دستگاه برای قرار دادن یک صفحه جعلی روی برنامه‌های بانکی قانونی استفاده می‌کنند. به این شکل که بدافزار یک صفحه جعلی مشابه صفحه ورود به سیستم اپلیکیشن‌ یک بانک ایجاد می‌کند و با استفاده از خدمات دسترسی که برای کمک به کاربران دارای معلولیت طراحی شده‌اند، این صفحه جعلی را بالای برنامه واقعی بانک قرار می‌دهد. وقتی کاربران اطلاعات کاربری و جزییات کارت اعتباری‌شان را در اپلیکیشن‌ بانکشان وارد می‌کنند، در واقع این اطلاعات را در صفحه همپوشانی جعلی وارد می‌کنند. سپس بدافزار این اطلاعات را جمع آوری و به مهاجمان ارسال می‌کند.