شرکت امنیتی Sophos: هکرها مشتریان بانک های ایرانی را با اپلیکیشن های جعلی هدف قرار دادند

شرکت امنیتی Sophos: هکرها با اپ‌های جعلی، مشتریان بانک‌های ایرانی را هدف قرار داده بودند

شرکت امنیت سایبری سوفوس‌لبز می‌گوید مشتریان چهار بانک ایرانی در یک حمله سایبری گسترده هدف حمله هکرها قرار داشته‌اند.

محققان امنیت سایبری شرکت SophosLabs چهار اپلیکیشن حاوی بدافزار را کشف کرده‌اند که خود را به‌جای چهار بانک ایرانی ملت، صادرات، رسالت و مرکزی جا زده و ماه‌ها به گردآوری اطلاعات حساس کاربران و سوءاستفاده از آن‌ها مشغول بوده‌اند.

براساس گزارشی که در وب‌سایت «سوفوس» منتشر شده است، چهار اپلیکیشن جعلی که از گواهی مسروقه اپ‌های اندرویدی استفاده می‌کردند، در حد فاصل ماه دسامبر 2022 (آذر-دی 1401) تا مه 2023 (اردیبهشت-خرداد 1402) مشتریان این بانک‌ها را هدف قرار داده بودند.

این اپلیکیشن‌ها ظاهراً اطلاعات احراز هویت مشتریان بانک‌ها و اطلاعات کارت‌های بانکی افراد را سرقت کرده‌اند. این بدافزارها قادر بودند اطلاعات پیامک‌ها را بخوانند و آیکن خود را مخفی کنند.

محققان سوفوس‌لبز می‌گویند این اپ‌های جعلی پس از نصب، پیامی را به کاربر نشان داده و درخواست دسترسی به پیامک‌ها را می‌کردند. پس از دریافت مجوز، صفحه ورود به همراه بانک را به نمایش می‌گذاشتند. زمانی که کاربر اطلاعات خود را وارد می‌کرد، داده‌ها به یک سرور فرمان و کنترل (C2) ارسال و تاریخ تولد کاربر از او پرسیده می‌شد.

سپس پیام خطایی روی صفحه ظاهر می‌شد که می‌گفت درخواست ورود او ارسال شده است و برای فعال‌سازی حساب خود باید 24 ساعت منتظر بماند. درنتیجه مهاجمان فرصت داشتند از این داده‌ها سوءاستفاده کنند یا آن‌ها را بفروشند.

سوفوس‌لبز می‌گوید این اپ‌های جعلی روی دامنه‌هایی نسبتاً جدید برای دانلود بارگذاری شده بودند که از بعضی از آن‌ها به‌عنوان سرور C2 هم استفاده می‌شد. برخی از همین دامنه‌ها برای فیشینگ نیز به‌کار گرفته می‌شدند. بااین‌حال، مشخص نیست که مهاجمان چگونه کاربران را مجاب می‌کردند تا از این سایت‌ها اپ‌های بانکی جعلی را دانلود کنند.

اگرچه این سایت‌ها اکنون از کار افتاده‌اند، اما برخی از سرورهای C2 آن‌ها همچنان فعالند. سوفوس‌لبز توضیح می‌دهد که حداقل یکی از این سرورها احتمالاً وب‌سرور دانشگاه کوثر بوده است که مهاجمان آن را تحت کنترل خود درآورده بودند و ظاهراً هنوز بخشی از کد بک‌اند سرور C2 آن‌ها به‌صورت فایل‌های PHP در آنجا قرار دارد.

بررسی‌های این شرکت همچنین نشان می‌دهد که هکرها در گوشی قربانی به‌دنبال چند اپلیکیشن بانکی و مالی دیگر مثل اپ‌های بانک ملی، بانک سپه، بانک پاسارگاد، بانک تجارت، بانک رفاه، بلوبانک، تترلند، نوبیتکس، کوینکس، بیت‌پین و دیجی‌پی هم می‌گشتند. در پایان جستجو، نتیجه کار به سرور C2 ارسال می‌شد، اما اتفاق بیشتری رخ نمی‌داد. درنتیجه این احتمال مطرح است که در آینده حملات بیشتری در راه باشد.

پیگیری‌های دیجیاتو از بانک مرکزی برای واکنش به گزارش شرکت امنیت سایبری Sophos تا به این لحظه نتیجه‌ای در بر نداشته است.