کاربران بزرگ‌ترین بانک‌های ایران در معرض خطر نفوذ یک کارزار بد‌افزاری

گروه فناوری- با افزایش استفاده از تلفن‌های هوشمند در سال‌های اخیر، اپلیکیشن‌های همراه‌بانک نیز به یکی از پرکاربردترین ابزارهای کاربران برای انجام امور بانکی تبدیل شده‌اند. این امر، زمینه را برای فعالیت مجرمان سایبری فراهم کرده تا با انتشار اپلیکیشن‌های همراه‌بانک جعلی، اطلاعات شخصی و بانکی کاربران را به سرقت ببرند. اپلیکیشن‌‌های همراه‌بانک جعلی، ظاهری مشابه با اپلیکیشن‌های اصلی دارند و به همین دلیل، تشخیص آنها برای کاربران عادی دشوار است. این اپلیکیشن‌ها با دریافت اطلاعات شخصی و بانکی کاربران مانند نام کاربری، رمز دوم، رمز دوم پویا و شماره کارت، به راحتی می‌توانند به حساب‌های بانکی آنها دسترسی پیدا کنند.

بر همین اساس یافته‌های یک شرکت امنیت سایبری بین‌المللی به نام «Zimperium» نشان می‌دهد اگر نسخه اپلیکیشن بانکی مربوط به بانک‌های سپه، ملت، تجارت، شهر، ملی، پاسارگاد و بلو را از منابع معتبر یا وب‌سایت‌های خود بانک‌ها دانلود و نصب نکرده باشید، به احتمال زیاد یک نسخه جعلی از آن را دریافت کرده‌اید و به همین سادگی امنیت دستگاه و اطلاعات شخصی و بانکی خود را به خطر انداخته‌اید. محققان شرکت «Zimperium» در یک پروژه تحقیقاتی بیش از ۲۰۰ اپلیکیشن جعلی تلفن همراه را کشف کرده‌اند که با تقلید از اپلیکیشن همراه‌بانک بانک‌های بزرگ ایرانی، اطلاعات مشتریان خود را به روش‌های مختلفی به سرقت می‌برند.

در ابتدا، عامل تهدید پشت این کمپین، ۴۰ اپلیکیشن را به تقلید از چهار بانک بزرگ ایرانی از جمله بانک ملت، بانک صادرات، بانک رسالت و بانک مرکزی ایران ایجاد کرده بود. یافته‌های Zimperium  نشان می‌دهد اولین کمپین از دسامبر ۲۰۲۲ (آذر و دی ۱۴۰۱) تا می ۲۰۲۳ (اردیبهشت و خرداد ۱۴۰۲) انجام شده است. بر‌اساس اطلاعاتی که شرکت Zimperium  منتشر کرده، در ادامه هم کمپینی در جولای سال جاری (تیر و مرداد ۱۴۰۲) کشف شده است که در حدود چهار ماه گذشته این گروه از مجرمان سایبری آن را ادامه داده‌اند و قابلیت‌ها و راهکارهای خود برای انجام این جرائم سایبری و سرقت اطلاعات را گسترده کرده‌اند.

روش این گروه برای اجرای این کمپین به این شکل است که از نسخه‌های قانونی و رسمی اپ‌های بانکی، تقلید کرده و آنها را از طریق چندین وب‌سایت فیشینگ توزیع می‌کنند. نوع سوءاستفاده‌هایی که از این اپلیکیشن‌ها و داده‌های آن انجام می‌شود متفاوت است. نسخه‌های قبلی برنامه‌های جعلی این امکان را به هکرها می‌دادند که اطلاعات ورود به سیستم بانکی و اطلاعات کارت اعتباری را سرقت کنند. علاوه بر این، آنها می‌توانستند ترافیک پیام کوتاه کاربران این اپ‌ها را رهگیری کنند تا گذرواژه‌های یک‌بار مصرف مورد استفاده برای احراز هویت را به سرقت ببرند. یکی دیگر از امکاناتی که این نسخه‌های غیر‌رسمی به هکرها می‌دادند این بود که امکان پاک کردن اپلیکیشن نصب‌شده را پنهان و از حذف برنامه جلوگیری می‌کردند.

سرهنگ داوود معظمی گودرزی، رییس پلیس فتای تولید و تبادل اطلاعات تهران، درباره این کمپین بدافزاری اعلام کرد: «تنها راه قربانی‌ نشدن در این مسیر این است که افراد نرم‌افزارهای همراه‌بانک را از مراجع رسمی دانلود و نصب کنند.»

هدف حمله بعدی: کیف پول ارز دیجیتال

آخرین یافته‌های Zimperium نشان می‌دهد شیوه‌های هجوم هکرها و سوءاستفاده‌شان از گوشی و اطلاعات کاربران همچنان در حال توسعه و تکمیل است.

آنها از یک طرف، مجموعه گسترده‌تری از بانک‌ها و برنامه‌های کیف پول ارزهای دیجیتال را هدف هجوم خود قرار می‌دهند و از سوی دیگر ویژگی‌های غیرمستند و اقدامات قبلی خود برای سرقت اطلاعات و سوءاستفاده از کاربران را دائما تقویت می‌کنند. در یک کمپین جدید، هکرها قابلیت‌های بیشتری را به بدافزار خود اضافه کردند تا جمع‌آوری اعتبار و سرقت داده‌ها را آسان‌تر کنند. روش‌های دیگری هم برای این سرقت اطلاعات یا هر نوع سوء‌استفاده دیگری از گوشی موبایل کاربر وجود دارد. محققان می‌گویند در برخی از انواع این بدافزار برای دسترسی به فایل README در مخازن GitHub  و برای استخراج نسخه کدگذاری‌شده با Base64 از سرور فرمان و کنترل  (C2)، URLهای فیشینگ را پیدا کرده‌اند. البته یک روش مهم و قابل توجه دیگر هم وجود دارد؛ این هکرها از سرورهای C2  میانی برای میزبانی فایل‌های متنی استفاده می‌کنند که حاوی رشته‌های رمزگذاری‌شده به سایت‌های فیشینگ هستند.

محققان Zimperium اعلام کرده‌اند: «کمپین‌های فیشینگ مورد استفاده پیچیده هستند و سعی می‌کنند سایت‌های اصلی را با جزئیات تقلید کنند.» اطلاعات دزدیده‌شده توسط سایت‌های فیشینگ به کانال‌های تلگرامی که در دست هکرها است، ارسال می‌شود. البته هنوز مشخص نیست چه تعداد از کاربران هدف این حمله و سرقت اطلاعاتی قرار گرفته‌اند. اطلاعاتی که از سایت‌های فیشینگ به کانال‌های تلگرامی منتقل می‌شود شامل شماره حساب‌ کاربران، مدل‌ دستگاه و آدرس‌های IP آنها می‌شود. البته محققان گفته‌اند: «مشخص است که بدافزارهای مدرن در حال پیچیده‌تر شدن هستند و اهداف بیشتری را هم در نظر دارند، بنابراین محافظت از اپلیکیشن‌هایی که روی گوشی نصب می‌شود بسیار مهم است.»

کمپین بدافزاری همچنان در حال پیشرفت است

به گفته محققان، برنامه‌های مخربی که در حال حاضر از همراه‌بانک تعدادی از بانک‌های ایرانی تقلید می‌کنند پس از نصب، گوشی موبایل کاربران را اسکن می‌کنند تا اپلیکیشن‌های کیف پول ارزهای دیجیتال را پیدا کنند. این موضوع تهدیدی برای پلتفرم‌های ارز دیجیتال است و نشان می‌دهد احتمالا هدف بعدی این کارزار بدافزاری نفوذ به این پلتفرم‌ها و کیف پول ارز دیجیتال کاربران است تا در آینده آنها را هدف قرار دهد. دانلود و نصب اپلیکیشن از سایت‌های متفرقه، کانال‌های تلگرامی، لینک‌های نامعتبری که در پیامک یا شبکه‌های اجتماعی دریافت می‌کنید به هیچ‌وجه قابل اعتماد نیستند. متاسفانه به‌دلیل عدم ارتباط مستقیم شرکت‌ها و پلتفرم‌های ایرانی با فروشگاه‌هایی مانند گوگل پلی‌استور، حتی این فروشگاه برنامه‌های اندرویدی هم قابل اعتماد نیست، چون عدم وجود این ارتباط باعث می‌شود پلتفرم‌های ایرانی نتوانند جعلی و غیر‌قانونی بودن بعضی اپلیکیشن‌ها را به گوگل‌پلی اطلاع بدهند.

احتمال حمله بدافزاری به گوشی‌های آیفون وجود دارد

هرچند کمپین بدافزاری همراه‌بانک‌ها تا امروز گوشی‌های دارای سیستم عامل اندروید را هدف گرفته است، شواهدی وجود دارد که نشان می‌دهد گوشی‌های دارای سیستم‌عامل iOS هم یک هدف بالقوه برای این کمپین‌ هستند.

در واقع، شواهد نشان می‌دهد سایت‌های فیشینگ این موضوع را بررسی می‌کنند که آیا صفحه توسط یک دستگاه iOS باز شده است یا خیر تا اگر کاربر آیفون داشت آن را زیر نظر قرار دهد. البته هنوز مشخص نیست که کمپین بدافزاری برای سیستم عامل iOS در مراحل توسعه است یا نه. در مورد گوشی‌های اندرویدی هم شواهد نشان می‌دهد تمرکز بیشتر روی گوشی‌های سامسونگ و شیائومی است و سایر برندها کمتر مورد توجه بوده‌اند.