مراقب باشید؛ این یک کمپین بزرگ بدافزاری علیه کاربران بزرگ‌ترین بانک‌های ایرانی است

اگر گوشی موبایل اندرویدی، به‌ویژه برند سامسونگ یا شیائومی، دارید و در بانک‌های مذکور حساب دارید، باید مراقب اپلیکیشن‌های همراه‌بانکی باشید که روی گوشی خود نصب می‌کنید؛ چراکه اصلاً بعید نیست اپلیکیشن بانکی شما نسخه جعلی همراه‌بانک باشد.

یافته‌های یک شرکت امنیت سایبری بین‌المللی به نام Zimperium نشان می‌دهد اگر نسخه اپلیکیشن بانکی مربوط به بانک‌های سپه، ملت، تجارت، شهر، ملی، پاسارگاد و بلو را از منابع معتبری، مثل مارکت‌پلیس بازار یا وب‌سایت‌های خود بانک‌ها دانلود و نصب نکرده باشید، به احتمال زیاد یک نسخه جعلی از آن اپلیکیشن را دریافت کرده‌اید و به همین سادگی امنیت دستگاه و امنیت اطلاعات شخصی و بانکی خود را به خطر انداخته‌اید.

محققان شرکت Zimperium در یک پروژه تحقیقاتی بیش از ۲۰۰ اپلیکیشن جعلی تلفن همراه را کشف کرده‌اند که با تقلید از اپلیکیشن همراه‌بانک بانک‌های بزرگ ایرانی، اطلاعات مشتریان خود را به روش‌های مختلفی به سرقت می‌برند.

در ابتدا، عامل تهدید پشت این کمپین، ۴۰ اپلیکیشن را به تقلید از چهار بانک بزرگ ایرانی، از جمله بانک ملت، بانک صادرات، بانک رسالت و بانک مرکزی ایران ایجاد کرده بود. یافته‌های Zimperium نشان می‌دهد اولین کمپین از دسامبر ۲۰۲۲ (آذر و دی ۱۴۰۱) تا می ۲۰۲۳ (اردیبهشت و خرداد ۱۴۰۲) انجام شده است.

بر اساس اطلاعاتی که شرکت Zimperium منتشر کرده، در ادامه هم کمپینی در جولای سال جاری (تیر و مرداد ۱۴۰۲) کشف شده است که در حدود چهار ماه گذشته این گروه از مجرمان سایبری آن را ادامه داده و قابلیت‌ها و راهکارهای خود برای انجام این جرایم سایبری و سرقت اطلاعات را گسترش داده‌اند.

روش این گروه برای اجرای این کمپین به این شکل است که از نسخه‌های قانونی و رسمی اپ‌های بانکی، که در مارکت‌پلیس کافه بازار وجود دارد، تقلید کرده و آن‌ها را از طریق چندین وب‌سایت فیشینگ توزیع می‌کنند. نوع سوءاستفاده‌هایی که از این اپلیکیشن‌ها و داده‌های آن انجام می‌شود متفاوت است.

نسخه‌های قبلی برنامه‌های جعلی این امکان را به هکرها می‌دادند که اطلاعات ورود به سیستم بانکی و اطلاعات کارت اعتباری را سرقت کنند. علاوه بر این، آن‌ها می‌توانستند ترافیک پیام کوتاه کاربران این اپ‌ها را رهگیری کنند تا گذرواژه‌های یک‌بار مصرف مورد استفاده برای احراز هویت را به سرقت ببرند. یکی دیگر از امکاناتی که این نسخه‌های غیر رسمی به هکرها می‌دادند این بود که امکان پاک کردن اپلیکیشن نصب‌شده را پنهان کرده و بنابراین، از حذف برنامه جلوگیری می‌کردند.

سرهنگ داوود معظمی گودرزی، رئیس پلیس فتای تولید و تبادل اطلاعات تهران، درباره این کمپین بدافزاری اعلام کرد:

تنها راه قربانی‌ نشدن در این مسیر این است که افراد نرم‌افزارهای همراه‌بانک را از مراجع رسمی دانلود و نصب کنند.

- سرهنگ داوود معظمی گودرزی، رئیس پلیس فتای تولید و تبادل اطلاعات تهران

آخرین یافته‌های Zimperium نشان می‌دهد شیوه‌های هجوم هکرها و سوءاستفاده‌شان از گوشی و اطلاعات کاربران همچنان در حال توسعه و تکمیل است. آن‌ها از یک طرف، مجموعه گسترده‌تری از بانک‌ها و برنامه‌های کیف پول ارزهای دیجیتال را هدف هجوم خود قرار می‌دهند و از سوی دیگر ویژگی‌های غیرمستند و اقدامات قبلی خود برای سرقت اطلاعات و سوءاستفاده از کاربران را دائما تقویت می‌کند. در یک کمپین جدید، هکرها قابلیت‌های بیشتری را به بدافزار خود اضافه کردند تا جمع‌آوری اعتبار و سرقت داده‌ها را آسان‌تر کنند.

روش‌های دیگری هم برای این سرقت اطلاعات یا هر نوع سوء استفاده دیگری از گوشی موبایل کاربر وجود دارد. محققان می‌گویند که در برخی از انواع این بدافزار برای دسترسی به فایل README در مخازن GitHub و برای استخراج نسخه کدگذاری شده با Base64 از سرور فرمان و کنترل (C2)، URLهای فیشینگ را پیدا کرده‌اند.

البته یک روش مهم و قابل توجه دیگر هم وجود دارد. این هکرها از سرورهای C2 میانی برای میزبانی فایل‌های متنی استفاده می‌کنند که حاوی رشته‌های رمزگذاری‌شده به سایت‌های فیشینگ هستند.

محققان Zimperium اعلام کرده‌اند: «کمپین‌های فیشینگ مورد استفاده پیچیده هستند و سعی می‌کنند سایت‌های اصلی را با جزئیات تقلید کنند.» اطلاعات دزدیده‌شده توسط سایت‌های فیشینگ به کانال‌های تلگرامی که در دست هکرها است، ارسال می‌شود. البته هنوز مشخص نیست چه تعداد از کاربران هدف این حمله و سرقت اطلاعاتی قرار گرفته‌اند.

اطلاعاتی که از سایت‌های فیشینگ به کانال‌های تلگرامی منتقل می‌شود شامل شماره حساب‌ کاربران، مدل‌ دستگاه و آدرس‌های IP آن‌ها می‌شود. البته محققان گفته‌اند: «مشخص است که بدافزارهای مدرن در حال پیچیده‌تر شدن هستند و اهداف بیشتری را هم در نظر دارند، بنابراین محافظت از اپلیکیشن‌هایی که روی گوشی نصب می‌شود بسیار مهم است.»

به گفته محققان، برنامه‌های مخربی که در حال حاضر از همراه‌بانک تعدادی از بانک‌های ایرانی تقلید می‌کنند پس از نصب، گوشی موبایل کاربران را اسکن می‌کنند تا اپلیکیشن‌های کیف پول ارزهای دیجیتال را پیدا کنند. این موضوع تهدیدی برای پلتفرم‌های ارز دیجیتال است و نشان می‌دهد احتمالاً هدف بعدی این کارزار بدافزاری نفوذ به این پلتفرم‌ها و کیف پول ارز دیجیتال کاربران است تا در آینده آن‌ها را هدف قرار دهد.

شرکت امنیت سایبری Zimperium در اطلاعاتی که منتشر کرده به چند اپلیکیشن فعال در حوزه ارز دیجیتال اشاره کرده است که ممکن است نصب نسخه جعلی آن‌ها برای کاربران دردسرساز شود و امنیت اطلاعات آن‌ها را به خطر بیندازد. این چند پلتفرم در ادامه ذکر شده‌اند:

اگر کاربر این پلتفرم‌ها هستید و از طریق آن‌ها ترید می‌کنید و از خدمات کیف پول این پلتفرم‌ها استفاده می‌کنید از رسمی بودن نسخه اپلیکیشن خود مطمئن شوید. حتماً از وب‌سایت این پلتفرم‌ها یا مارکت‌پلیس‌های مطمئن اپلیکیشن را دانلود کنید.

دانلود و نصب اپلیکیشن از سایت‌های متفرقه، کانال‌های تلگرامی، لینک‌های نامعتبری که در پیامک یا شبکه‌های اجتماعی دریافت می‌کنید به هیچ وجه قابل اعتماد نیستند. متأسفانه به‌دلیل عدم ارتباط مستقیم شرکت‌ها و پلتفرم‌های ایرانی با فروشگاه‌هایی مانند گوگل پلی استور، حتی این فروشگاه برنامه‌های اندرویدی هم قابل اعتماد نیست، چون عدم وجود این ارتباط باعث می‌شود پلتفرم‌های ایرانی نتوانند جعلی و غیر قانونی بودن بعضی اپلیکیشن‌ها را به گوگل پلی اطلاع بدهند.

البته هنوز مشخص نیست که کمپین بدافزاری برای سیستم عامل iOS در مراحل توسعه است یا نه. در مورد گوشی‌های اندرویدی هم شواهد نشان می‌دهد تمرکز بیشتر روی گوشی‌های سامسونگ و شیائومی است و سایر برندها کمتر مورد توجه بوده‌اند.