به گزارش پیوست، در جولای ۲۰۲۳ اطلاعات مربوط به یک کارزار اندرویدی برملا شد که در آن تروجانهای بانکی، بانکهای بزرگ ایران را هدف گرفتند. تیم تحقیقاتی شرکت Zimperium به تازگی دریافته است که این کارزار نه تنها به فعالیت خود ادامه میدهد بلکه توانمندیهای خود را نیز افزایش داده است. موارد تازه کشف شده به طور کامل از چشم فعالان صنعتی پنهان ماندهاند و شواهد نشانگر رابطهای بین این کارزار با حملات فیشینگی در رابطه با همین بانکها است.
تحقیقات سابق درمورد بدافزاری که بانکداری موبایل ایران را هدف گرفته بود
پیش از این در تحقیقات از چهار دسته اپلیکیشین سرقت اطلاعات ورود به حساب که چهار بانک بزرگ ایران (بانک ملت، صادرات،رسالت و مرکزی) را هدف میگرفتند پردهبرداری شد. طی این بررسیها مجموعا ۴۰ اپلیکیشن که از دسامبر ۲۰۲۲ تا مه ۲۰۲۳ فعالیت داشتند با قابلیتهای زیر شناسایی شد:
- سرقت اطلاعات ورود به حساب بانکی
- سرقت اطلاعات کارت
- پنهان کردن آیکون اپلیکیشن (برای جلوگیری از حذف اپلیکیشن)
- نفوذ و دسترسی به پیامک و سرقت کدهای یک بار مصرف
این اپلیکیشنها از نسخههای رسمی موجود در کافه بازار تقلید میکردند و از طریق چندین وبسایت فیشینگ که برخی به عنوان سرورهای کنترل و فرماندهی نیز فعالیت داشتند توزیع میشدند.
گونههای جدید
تیم تحقیقاتی Zimperium متوجه شده است که ۲۴۵ اپلیکیشن در تحقیقات اصلی گزارش نشدهاند. از این بین، ۲۸ مورد از چشم فعالان صنعتی نیز پنهان بودند.
این موارد رابطه مستقیمی با همان تبهکاران سابق دارند و دو رونوشت جدید از اولین تحقیقات بدافزار بانکداری موبایل ایران را در بر میگیرند. اولین رونوشت مشابه گزارش قبلی بود و تنها تفاوت این دو در اهداف خلاصه میشد، دومین رونوشت اما تکنیکها و توانمدنیهای جدیدی را در بر میگیرد که نقش کلیدی در موفقیت حملات دارند.
در بخشهای بعدی این مقاله گونههای جدید و قابلیتهای آنها را بررسی میکنیم.
رونوشت شماره ۱: افزایش اهداف
جدای از بانکهایی که پیشتر به آنها اشاره شده بود، این اپلیکیشن وجود اپلیکیشنهای جدید دیگری را نیز بررسی میکند. با این حال هیچکدام از آنها دائما هدف حمله باجافزار قرار نمیگیرند. این موضوع نشان میدهد که توسعهدهندگان بدافزار میخواهند حمله خود را گسترش دهند.
جدول زیر بانکهایی که در اولین کارزار هدف قرار گرفتند (در اولین سطرها) و بانکهای جدیدی که در رونوشت دوم اضافه شدند (خاکستری) را نشان میدهد. اهدافی که در رونوشت جدیدی به آنها اشاره شده در تحقیق اولیه نیز مورد اشاره قرار گرفتند اما هنوز به طور فعال هدف گرفته نمیشوند. این جدول همچنین اهداف جدیدی که از آنها بهرهبرداری نمی شود را نیز نشان میدهد (خاکستری روشن.)
ما علاوه بر کشف بانکهای جدید متوجه شدیم که تبهکاران اندیشههای بزرگتری را در سر داشته و فعالیت خود را نیز گسترش دادهاند زیرا اطلاعات مربوط به وجود چندین اپلیکیشن کیف پول رمزارزی را نیز جمعآوری میکنند. با توجه به روند توسعه گونههای سابق بدافزاری، به احتمال زیاد در آینده نزدیک این کیف پولهای رمزارزی هدف حمله قرار می؛یرند. جدول زیر لیست کامل اپلیکیشنهای هدف این کارزار را نشان میدهد.
رونوشت ۲: قابلیتهای جدید
دومین نسخه این بدافزار قابلیتهای جدید زیادی دارد. در این بخش این قابلیتهای جدید را بررسی میکنیم.
سو استفاده از دسترسی به خدمت
بدافزار با استفاده از خدمات دسترسی رو صفحات قرار گرفته و اطلاعات ورود به حساب و جزئیات کارت بانکی را استخراج میکند.
حمله به این صورت است که بدافزار اپلیکیشنهای باز را بررسی کرده و اگر اپلیکیشن در لیست هدف باشد، یک صفحه وبویو با یک URL فیشینگ از اپلیکیشن را باز میکند. در نسخههای پیشین بدافزار، حمله با استفاده از یک فایل داخلی که از طریق «content://» واکشی میشد انجام میگرفت. از آنجایی که در نسخه فعلی میتوان همواره نسخه وبویو را اصلاح کرد، مهاجم انعطاف بیشتری دارد.
علاوه بر این خدمات دسترسی برای موارد نیز به کار میروند:
- جواز خودکار برای دسترسی به پیامک
- جلوگیری از حذف اپلیکیشن
- جستجو و کلیک روی عناصر UI (رابط کاربری)
استخراج داده
بررسی سرورهای کنترل و فرماندهی (C&C) این کارزار نشان میدهد که برخی از این سرورها حاوی دیرکتوریهایی حاوی کد PHP هستند. با تحلیل این کدها، میتوان درک بهتری از استخراج داده قربانیان به دست آورد.
دادههایی که از طریق لینکهای فیشینگ به دست آمده با استفاده از کد جاوااسکریپت شکل ۱ به سرور مرکزی ارسال میشوند.
ما با بررسی کد C&C به یک سری ID کانال تلگرامی و روبات توکنی دست یافتیم. این اطلاعات برای ارسال دادههای جمعآوری شده به کانالهای توزیع استفاده میشوند. کد PHP این کار را در شکل ۲ مشاهده میکنید.
استفاده از GitHub برای اشتراکگذاری URL نهایی C&C
مشاهدات ما نشان میدهد که برخی از نسخهها با بایگانیهای کدی در Github در ارتباط هستند. بررسی دقیق تر نشان داد که این بایگانیهای کد حاوی یک فایل README با متنی هستند که با base64 رمزنگاری شده و URL به روز مربوط به سرور C&C و فیشینگ را ارائه میکند.
درنتیجه مهاجمان خیلی سریع با بروزرسانی بایگانی کد در GitHub میتوانند به بسته شدن سایتهای فیشینگ واکنش نشان داده و اطمینان حاصل کنند که اپلیکشینهای آلوده همواره به سایتهای فیشینگ فعال دسترسی دارند. شکل ۳ اسکرینشاتی از یک بایگانی مورد استفاده در این کارزار را نشان می دهد. رشته کد موجود در فایل README.md که با الگوریتم base64 رمزنگاری شده به صورت زیر است:
api_link”:”hxxps://sadeaft.site/rat/”,”api_web”:”hxxps://sadertac-web.click/”
شکل ۴ کد اندرویدی را نشان میدهد که اپلیکیشن با استفاده از آن با بایگانی GitHub ارتباط گرفته و آخرین سایت فیشینگ را متوجه میشود. در نمونه کد زیر مشاهده می :نید که اپلیکیشن چطور اتصالی با بایگانی Github برقرار کرده و فایل README.md را میخواند. در ادامه این کد، اپلیکیشن با استفاده از تابعهای کاربردی خود این رشته را رمزگشایی می کند.
حسابهایی که در این کارزار استفاده شدهاند پس از گزارش ما به GitHub مبنی بر نقض شرایط استفاده حذف شدهاند.
ترفند رایج دیگری که برای واکشی ساسیتهای فعال فیشینگ استفاده میشود به این صورت است که از C&C تنها با هدف توزیع لینکهای فعال استفاده میشود. با استفاده از این رویکرد URL سرور به صورت غیرقابل تغییر در اپلیکیشن قرار میگیرند و خطری برای غیرفعال شدن آدرس وجود ندارد.
شکل ۵ اسکرین شات یکی از این سرورهای میانجی C&C را نشان میدهد. فایل urlx.txt حاوی رشته کدی است که با base64 رمزنگاری شده است، درست شبیه به همان چیزی که در بخش قبل مشاهده کردیم و حاوی URL سایت فیشینگ است. URL رمزنگاری شده در این تصویر عبارت است از: hxxps://webpagea.click
بدافزار موبایل بانک ایرانی: حملات خاص گوشیها
یکی از معایب استفاده از خدمات دسترسی، لزوم دریافت اجازه از کاربر است. به همین دلیل، مهاجمان حملات خاصی را برای برندهای مختلف گوشی در دستور کار قرار دادهاند. این کارزار به ویژه گوشیهای شیائومی و سامسونگ را هدف میگیرد.
شکل ۶ اسنیپت کد مربوط به اپلیکیشنی را نشان میدهد که از طریق آن تولید کننده گوشی بررسی شده و با توجه به تولید کننده اقداماتی در دستور کار قرار میگیرند. توابع تعریف شده اجازه دسترسی خودکار به پیامک را فراهم میکنند، از حذف اپلیکیشن جلوگیری کرده و روی استرینگها مشخصی کلیک میکنند. شکل ۷ با نمایش کد خاص سامسونگ اطلاعات بیشتری نسبت به شکل ۶ را نمایش میدهد.
احتمال هدفگیری iOS
سایتهای فیشینگی این بدافزار، باز شدن صفحه از طریق یک دستگاه iOS را نیز بررسی میکند. در این صورت، وبسایتی که نسخه iOS اپلیکیشن را تقلید میکند به کاربر نمایش داده میشود (شکل ۸.) با این حال هنوز نتوانستیم فایلهای IPA مربوط به فراخوان وبویو در نسخه iOS را پیدا کنیم. این موضوع نشان میدهد که در حال حاضر کارزار iOS یا در دست توسعه است و یا از طریق یک منبع ناشناخته توزیع میشود.
تجزیه تحلیل کانال تلگرامی
کارزارهای فیشینگ پیچیده تلاش میکنند تا سایتهای اصلی را تا بیشترین حد ممکن تقلید کنند. شکل ۹ نمونهای از سایتی را نشان میدهد که از کاربر درخواست میکند تا وارد حساب شده یا ثبت نام کند. در این شکل صفحه های مربوط به هر گزینه را مشاهده میکنید.
دادههایی که از طریق این سایت فیشینگ به سرقت میرود برای دو کانال تلگرامی ارسال میشوند. یکی از این کانالها به هیچ عنوان محافظت نشده و در دسترس عموم قرار دارد. شکل ۱۰ نمونهای از پیامهایی که در این کانال منتشر میشود را نشان میدهد. مشاهده می:نید که شماره حساب، IP، مدل دستگاه و رمزعبور در این کانال ارائه میشود.
این کانالها به تلگرام گزارش شده و ممکن است از سوی این پلتفرم حذف شوند. به دلیل حساسیت اطلاعات، ما نام کانالها را در این پست منتشر نمیکنیم. با این حال ما تمامی پیامهای منتشر شده در کانال عمومی را بررسی کردیم و دیدم مهاجمان دادههای جمعآوری شده را در این کانالها توزیع میکنند. چگونگی توزیع پیامها در شکل ۱۱ قابل مشاهده است. میتوان دید که یکی از رایجترین پیامهای کانال حاوی کدلهای OTP است (همانطور که انتظار میرفت، زیرا کاربر میتواند چندین نسخه از این پیامها را تولید کند) و پس از آن اطلاعات هویتی و شماره کارت ارائه میشود.