کشف کمپین بدافزاری خطرناک اندرویدی با شبیه سازی اپلیکیشن‌ های چند بانک ایرانی

حذف شدن بسیاری از اپلیکیشن‌های ایرانی از فروشگاه‌های معتبر نرم‌افزاری نظیر گوگل پلی و همچنین فیلتر شدن این فروشگاه‌ها، فضا را برای جولان انواع و اقسام بدافزارها باز کرده است. در همین رابطه شرکت امنیتی سایبری Sophos اعلام کرده که هکرها با جعل اپلیکیشن‌های همراه بانک‌ در حال جمع‌آوری داده‌های مشتریان بانک‌های ایرانی هستند.

مهندسان شرکت امنیتی Sophos به تازگی از وجود بدافزاری جدید پرده برداشتند که در فاز اول فعالیت خود اطلاعات مشتریان چهار بانک ایرانی را سرقت کرده است. مشتریان چهار بانک ملت و بانک صادرات و بانک رسالت و بانک مرکزی ایران در معرض این حمله هکری قرار داشته‌اند.

جولان بدافزارهای کپی برابر اصل!

بدافزار‌های مربوطه دقیقاً ظاهری مشابه اپلیکیشن‌های همراه بانک داشته‌اند، به طوری که کاربران با کلیک روی برخی از قسمت‌های آن به سایت بانک مربوطه هدایت می‌شدند. لازم به ذکر است که هکرها از راهکارهای ثالث مانند عرضه در شبکه‌های اجتماعی یا وبسایت‌های متفرقه برای پخش گسترده بدافزارها استفاده نموده‌اند.

این بدافزارها از دسامبر 2022 (آذر 1401) و مه 2023 (اردیبهشت 1402) برای دانلود در دسترس بوده و جزئیات مربوط به اطلاعات ورود به بانکداری اینترنتی و کارت عابر بانک را جمع‌آوری می‌کردند. حتی این بدافزارهای می‌توانستند آیکون خود را مخفی‌ نگه‌داشته و حتی پس از حذف آنها نیز در پس زمینه فعال باشند و پیامک‌های دریافتی برخی از بانک‌ها را ردیابی کنند.

کاربران با نصب و اجرای این بدافزارها تفاوتی با اپلیکیشن‌های رسمی همراه بانک مشاهده نمی‌کنند. این شباهت در کدها و ظاهر برنامه به قدری زیاد است که ظن ارتباط میان سازندگان اپلیکیشن همراه بانک با هکرها را تقویت می‌کند. این بدافزار پس از نصب روی گوشی، از کاربر می‌خواهد که مجوز خواندن پیامک را تایید کند.پس از آن کاربر با صفحه‌ای روبرو می‌شود که باید نام کاربری و رمز عبور خود را وارد کند.

لازم به ذکر است بیشتر گزینه‌های این بدافزار واقعی بوده و کاربر را به سایت بانک هدایت می‌کند و همین امر موجب شده تشخیص اپلیکیشن واقعی از بدافزار بسیار سخت شود. این بدافزار در ادامه از کاربر می‌خواهد نام کاربری و رمز عبور همراه بانک خود را وارد کند.

پس از آن تاریخ تولد کاربر نیز دریافت شده و برای سرورهای مختلف ارسال می‌گردد. همچنین پیغامی برای کاربر نمایش داده می‌شود مبنی بر اینکه تا 24 ساعت آینده حساب کاربری شما فعال خواهد شد. این امر به مهاجمان فرصت می‌دهد تا به حساب بانکی کاربر دست‌برد بزنند.

در همین رابطه بخوانید:

- جولان اپلیکیشن‌های جعلی هشت بانک ایرانی در گوگل پلی؛ هشدار پلیس فتا به کاربران بانک‌ها

نکته جالب اینکه برخی از این سرورها در داخل کشور قرار داشته و یکی از آنها متعلق به یک دانشگاه بوده که احتمالاً مورد سو استفاده قرار گرفته است. همچنین بدافزار مورد اشاره به محض نصب روی گوشی هوشمند به دنبال سایر برنامه‌های مالی برای سایر بانکها و موسسات اعتباری گشته و گزارش آن را برای مهاجمان ارسال می‌کند.