امنیت کاربران بزرگ‌ترین بانک‌های ایران در خطر

بدافزاری که از سوی محققان Banker نامگذاری شده، کاربران موبایل‌بانک و بانکداری الکترونیکی ایران را هدف گرفته است. داده‌های تیم‌ تحقیقاتی شرکت Zimperium نشان می‌دهد که در اولین کارزار بدافزاری چهار بانک سپه، شهر، ملت و تجارت هدف قرار گرفته‌اند و حالا در نسخه دوم این بد افزار بانک‌های ملی، پاسارگاد، تجارت و بلو نیز هدف این بدافزار هستند. این کارزار بدافزاری در حال حاضر و با توجه به اطلاعات موجود تنها دستگاه‌های اندرویدی را هدف قرار داده اما به نظر کارزاری برای دستگاه‌های iOS نیز در حال توسعه است.

به گزارش پیوست، در جولای ۲۰۲۳ اطلاعات مربوط به یک کارزار اندرویدی برملا شد که در آن تروجان‌های بانکی، بانک‌های بزرگ ایران را هدف گرفتند. تیم تحقیقاتی شرکت Zimperium به تازگی دریافته است که این کارزار نه تنها به فعالیت خود ادامه می‌دهد بلکه توانمندی‌های خود را نیز افزایش داده است. موارد تازه کشف شده به طور کامل از چشم فعالان صنعتی پنهان مانده‌اند و شواهد نشانگر رابطه‌ای بین این کارزار با حملات فیشینگی در رابطه با همین بانک‌ها است.

تحقیقات سابق درمورد بدافزاری که بانکداری موبایل ایران را هدف گرفته بود

پیش از این در تحقیقات از چهار دسته اپلیکیشین سرقت اطلاعات ورود به حساب که چهار بانک بزرگ ایران (بانک ملت، صادرات،‌رسالت و مرکزی) را هدف می‌گرفتند پرده‌برداری شد. طی این بررسی‌ها مجموعا ۴۰ اپلیکیشن که از دسامبر ۲۰۲۲ تا مه ۲۰۲۳ فعالیت داشتند با قابلیت‌های زیر شناسایی شد:

سرقت اطلاعات ورود به حساب بانکی
سرقت اطلاعات کارت
پنهان کردن آیکون اپلیکیشن (برای جلوگیری از حذف اپلیکیشن)
نفوذ و دسترسی به پیامک و سرقت کد‌های یک بار مصرف

این اپلیکیشن‌ها از نسخه‌های رسمی موجود در کافه‌ بازار تقلید می‌کردند و از طریق چندین وبسایت فیشینگ که برخی به عنوان سرور‌های کنترل و فرماندهی نیز فعالیت داشتند توزیع می‌شدند.

گونه‌های جدید

تیم تحقیقاتی Zimperium متوجه شده است که ۲۴۵ اپلیکیشن در تحقیقات اصلی گزارش نشده‌اند. از این بین، ۲۸ مورد از چشم فعالان صنعتی نیز پنهان بودند.

این موارد رابطه مستقیمی با همان تبهکاران سابق دارند و دو رونوشت جدید از اولین تحقیقات بدافزار بانکداری موبایل ایران را در بر می‌گیرند. اولین رونوشت مشابه گزارش قبلی بود و تنها تفاوت این دو در اهداف خلاصه می‌شد، دومین رونوشت اما تکنیک‌ها و توانمدنی‌های جدیدی را در بر می‌گیرد که نقش کلیدی در موفقیت حملات دارند.

در بخش‌های بعدی این مقاله گونه‌های جدید و قابلیت‌های آنها را بررسی می‌کنیم.

رونوشت شماره ۱: افزایش اهداف

جدای از بانک‌هایی که پیشتر به آنها اشاره شده بود، این اپلیکیشن وجود اپلیکیشن‌های جدید دیگری را نیز بررسی می‌کند. با این حال هیچکدام از آنها دائما هدف حمله باج‌افزار قرار نمی‌گیرند. این موضوع نشان می‌دهد که توسعه‌دهندگان بدافزار می‌خواهند حمله خود را گسترش دهند.

جدول زیر بانک‌هایی که در اولین کارزار هدف قرار گرفتند (در اولین سطر‌ها) و بانک‌های جدیدی که در رونوشت دوم اضافه شدند (خاکستری) را نشان می‌دهد. اهدافی که در رونوشت جدیدی به آنها اشاره شده در تحقیق اولیه نیز مورد اشاره قرار گرفتند اما هنوز به طور فعال هدف گرفته نمی‌شوند. این جدول همچنین اهداف جدیدی که از آنها بهره‌برداری نمی شود را نیز نشان می‌دهد (خاکستری روشن.)

ما علاوه بر کشف بانک‌های جدید متوجه شدیم که تبهکاران اندیشه‌های بزرگتری را در سر داشته و فعالیت خود را نیز گسترش داده‌اند زیرا اطلاعات مربوط به وجود چندین اپلیکیشن کیف‌ پول رمزارزی را نیز جمع‌آوری می‌کنند. با توجه به روند توسعه گونه‌های سابق بد‌افزاری، به احتمال زیاد در آینده نزدیک این کیف‌ پول‌های رمزارزی هدف حمله قرار می‌؛یرند. جدول زیر لیست کامل اپلیکیشن‌های هدف این کارزار را نشان می‌دهد.

رونوشت ۲: قابلیت‌های جدید

دومین نسخه این بدافزار قابلیت‌های جدید زیادی دارد. در این بخش این قابلیت‌های جدید را بررسی می‌کنیم.

سو استفاده از دسترسی به خدمت

بدافزار با استفاده از خدمات دسترسی رو صفحات قرار گرفته و اطلاعات ورود به حساب و جزئیات کارت بانکی را استخراج می‌کند.

حمله به این صورت است که بدافزار اپلیکیشن‌های باز را بررسی کرده و اگر اپلیکیشن در لیست هدف باشد، یک صفحه وب‌ویو با یک URL فیشینگ از اپلیکیشن را باز می‌کند. در نسخه‌های پیشین بد‌افزار، حمله با استفاده از یک فایل داخلی که از طریق «content://» واکشی می‌شد انجام می‌گرفت. از آنجایی که در نسخه فعلی می‌توان همواره نسخه وب‌ویو را اصلاح کرد، مهاجم انعطاف بیشتری دارد.

علاوه بر این خدمات دسترسی برای موارد نیز به کار می‌روند:

جواز خودکار برای دسترسی به پیامک
جلوگیری از حذف اپلیکیشن
جستجو و کلیک روی عناصر UI (رابط کاربری)

استخراج داده

بررسی سرور‌های کنترل و فرماندهی (C&C) این کارزار نشان می‌دهد که برخی از این سرور‌ها حاوی دیرکتوری‌هایی حاوی کد PHP هستند. با تحلیل این کد‌ها، می‌توان درک بهتری از استخراج داده قربانیان به دست آورد.

داده‌هایی که از طریق لینک‌های فیشینگ به دست آمده با استفاده از کد جاوااسکریپت شکل ۱ به سرور مرکزی ارسال می‌شوند.

ما با بررسی کد C&C به یک سری ID کانال تلگرامی و روبات توکنی دست یافتیم. این اطلاعات برای ارسال داده‌های جمع‌آوری شده به کانال‌های توزیع استفاده می‌شوند. کد PHP این کار را در شکل ۲ مشاهده می‌کنید.

iranian mobile banking malware 3.jpg — شکل ۱. تابع استخراج داده‌ای که توسط سایت‌های فیشینگ استفاده می‌شود. تابع جاوا اسکریپت برای ارسال داده است.

iranian mobile banking malware 4.jpg — شکل ۲. کد PHP که برای ارسال داده به کانال تلگرامی استفاده می‌شود.

استفاده از GitHub برای اشتراک‌گذاری URL نهایی C&C

مشاهدات ما نشان می‌دهد که برخی از نسخه‌ها با بایگانی‌های کدی در Github در ارتباط هستند. بررسی دقیق تر نشان داد که این بایگانی‌های کد حاوی یک فایل README با متنی هستند که با base64 رمزنگاری شده و URL به روز مربوط به سرور C&C و فیشینگ را ارائه می‌کند.

درنتیجه مهاجمان خیلی سریع با بروزرسانی بایگانی کد در GitHub می‌توانند به بسته شدن سایت‌های فیشینگ واکنش نشان داده و اطمینان حاصل کنند که اپلیکشین‌های آلوده همواره به سایت‌های فیشینگ فعال دسترسی دارند. شکل ۳ اسکرین‌شاتی از یک بایگانی‌ مورد استفاده در این کارزار را نشان می دهد. رشته کد موجود در فایل README.md که با الگوریتم base64 رمزنگاری شده به صورت زیر است:

api_link”:”hxxps://sadeaft.site/rat/”,”api_web”:”hxxps://sadertac-web.click/”

iranian mobile banking malware 5.jpg — شکل ۳. URL رمزنگاری شده با base64 در یکی از بایگانی‌های GitHub که برای توزیع سایت‌های فیشینگ استفاده می‌شود.

شکل ۴ کد اندرویدی را نشان می‌دهد که اپلیکیشن با استفاده از آن با بایگانی GitHub ارتباط گرفته و آخرین سایت فیشینگ را متوجه می‌شود. در نمونه کد زیر مشاهده می :نید که اپلیکیشن چطور اتصالی با بایگانی Github برقرار کرده و فایل README.md را می‌خواند. در ادامه این کد، اپلیکیشن با استفاده از تابع‌های کاربردی خود این رشته را رمزگشایی می کند.

حساب‌هایی که در این کارزار استفاده شده‌اند پس از گزارش ما به GitHub مبنی بر نقض شرایط استفاده حذف شده‌اند.

iranian mobile banking malware 6.png — شکل ۴. بخشی از کد که از طریق آن اپلیکیشن اندرویدی با بایگاهی GitHub برای دریافت آخرین سایت‌های فیشینگ ارتباط می‌گیرد.

ترفند رایج دیگری که برای واکشی ساسیت‌های فعال فیشینگ استفاده می‌شود به این صورت است که از C&C تنها با هدف توزیع لینک‌های فعال استفاده می‌شود. با استفاده از این رویکرد URL سرور به صورت غیرقابل تغییر در اپلیکیشن قرار می‌گیرند و خطری برای غیرفعال شدن آدرس وجود ندارد.

شکل ۵ اسکرین شات یکی از این سرور‌های میانجی C&C را نشان می‌دهد. فایل urlx.txt حاوی رشته کدی است که با base64 رمزنگاری شده است، درست شبیه به همان چیزی که در بخش قبل مشاهده کردیم و حاوی URL سایت فیشینگ است. URL رمزنگاری شده در این تصویر عبارت است از: hxxps://webpagea.click

iranian mobile banking malware 7.jpg — شکل۵. اسکرین‌شاتی از سرور میانجی که برای توزیع آدرس سایت‌های فیشینگ استفاده می‌شود. فایل url.txt شامل یک استرینگ رمزنگاری شده با base64 است که آدرس سایت‌های به روز را شامل می‌شود.

بدافزار موبایل بانک ایرانی: حملات خاص گوشی‌ها

یکی از معایب استفاده از خدمات دسترسی، لزوم دریافت اجازه از کاربر است. به همین دلیل، مهاجمان حملات خاصی را برای برند‌های مختلف گوشی در دستور کار قرار داده‌اند. این کارزار به ویژه گوشی‌های شیائومی و سامسونگ را هدف می‌گیرد.

شکل ۶ اسنیپت کد مربوط به اپلیکیشنی را نشان می‌دهد که از طریق آن تولید کننده گوشی بررسی شده و با توجه به تولید کننده اقداماتی در دستور کار قرار می‌گیرند. توابع تعریف شده اجازه دسترسی خودکار به پیامک را فراهم می‌کنند، از حذف اپلیکیشن جلوگیری کرده و روی استرینگ‌ها مشخصی کلیک می‌کنند. شکل ۷ با نمایش کد خاص سامسونگ اطلاعات بیشتری نسبت به شکل ۶ را نمایش می‌دهد.

iranian mobile banking malware 8.jpg — شکل ۶. کدی که تنها در دستگاه‌های شیائومی و سامسونگ عمل می‌کند و جلوی حذف اپلیکیشن را گرفته و امکان دسترسی به پیامک را فراهم می‌کند.

iranian mobile banking malware 9.jpg — شکل ۷. توابع خاص سامسونگ که از حذف اپلیکیشن جلوگیری می‌کنند.

احتمال هدف‌گیری iOS

سایت‌های فیشینگی این بدافزار، باز شدن صفحه از طریق یک دستگاه iOS را نیز بررسی می‌کند. در این صورت، وبسایتی که نسخه iOS اپلیکیشن را تقلید می‌کند به کاربر نمایش داده می‌شود (شکل ۸.) با این حال هنوز نتوانستیم فایل‌های IPA مربوط به فراخوان وب‌ویو در نسخه iOS را پیدا کنیم. این موضوع نشان می‌دهد که در حال حاضر کارزار iOS یا در دست توسعه است و یا از طریق یک منبع ناشناخته توزیع می‌شود.

iranian mobile banking malware 10.jpg — شکل ۸. صفحه جعلی iOS که از طریق وبسایت فیشینگ ارائه می‌شود.

تجزیه تحلیل کانال تلگرامی

کارزارهای فیشینگ پیچیده تلاش می‌کنند تا سایت‌های اصلی را تا بیشترین حد ممکن تقلید کنند. شکل ۹ نمونه‌ای از سایتی را نشان می‌دهد که از کاربر درخواست می‌کند تا وارد حساب شده یا ثبت نام کند. در این شکل صفحه های مربوط به هر گزینه را مشاهده می‌کنید.

iranian mobile banking malware 11 — شکل ۹. کارزار فیشینگی که کاربران فعلی و جدید را هدف می‌گیرد. (a) گزینه ورود به حساب و ثبت‌نام در اختیار کاربر قرار می‌گیرد. (b) صفحه ارائه اطلاعات ورود به حساب. (c) صفحه ارائه اطلاعات کاربر جدید برای ثبت‌نام.

داده‌هایی که از طریق این سایت فیشینگ به سرقت می‌رود برای دو کانال تلگرامی ارسال می‌شوند. یکی از این کانال‌ها به هیچ عنوان محافظت نشده و در دسترس عموم قرار دارد. شکل ۱۰ نمونه‌ای از پیام‌هایی که در این کانال منتشر می‌شود را نشان می‌دهد. مشاهده می‌:نید که شماره حساب، IP، مدل دستگاه و رمزعبور در این کانال ارائه می‌شود.

این کانال‌ها به تلگرام گزارش شده و ممکن است از سوی این پلتفرم حذف شوند. به دلیل حساسیت اطلاعات، ما نام کانال‌ها را در این پست منتشر نمی‌کنیم. با این حال ما تمامی پیام‌های منتشر شده در کانال عمومی را بررسی کردیم و دیدم مهاجمان داده‌های جمع‌آوری شده را در این کانال‌ها توزیع می‌کنند. چگونگی توزیع پیام‌ها در شکل ۱۱ قابل مشاهده است. می‌توان دید که یکی از رایج‌ترین پیام‌های کانال حاوی کدل‌های OTP است (همانطور که انتظار می‌رفت، زیرا کاربر می‌تواند چندین نسخه از این پیام‌ها را تولید کند) و پس از آن اطلاعات هویتی و شماره کارت ارائه می‌شود.