۱۴۰۲/۰۹/۱۱ ۱۹:۳۹ چاپ زمان مورد نیاز برای مطالعه: 8 دقیقه

بدافزاری که از سوی محققان Banker نامگذاری شده، کاربران موبایل‌بانک و بانکداری الکترونیکی ایران را هدف گرفته است. داده‌های تیم‌ تحقیقاتی شرکت Zimperium نشان می‌دهد که در اولین کارزار بدافزاری چهار بانک سپه، شهر، ملت و تجارت هدف قرار گرفته‌اند و حالا در نسخه دوم این بد افزار بانک‌های ملی، پاسارگاد، تجارت و بلو نیز هدف این بدافزار هستند. این کارزار بدافزاری در حال حاضر و با توجه به اطلاعات موجود تنها دستگاه‌های اندرویدی را هدف قرار داده اما به نظر کارزاری برای دستگاه‌های iOS نیز در حال توسعه است.

گیل خبر/ به گزارش پیوست، در جولای ۲۰۲۳ اطلاعات مربوط به یک کارزار اندرویدی برملا شد که در آن تروجان‌های بانکی، بانک‌های بزرگ ایران را هدف گرفتند. تیم تحقیقاتی شرکت Zimperium به تازگی دریافته است که این کارزار نه تنها به فعالیت خود ادامه می‌دهد بلکه توانمندی‌های خود را نیز افزایش داده است. موارد تازه کشف شده به طور کامل از چشم فعالان صنعتی پنهان مانده‌اند و شواهد نشانگر رابطه‌ای بین این کارزار با حملات فیشینگی در رابطه با همین بانک‌ها است.

تحقیقات سابق درمورد بدافزاری که بانکداری موبایل ایران را هدف گرفته بود
پیش از این در تحقیقات از چهار دسته اپلیکیشین سرقت اطلاعات ورود به حساب که چهار بانک بزرگ ایران (بانک ملت، صادرات،‌رسالت و مرکزی) را هدف می‌گرفتند پرده‌برداری شد. طی این بررسی‌ها مجموعا ۴۰ اپلیکیشن که از دسامبر ۲۰۲۲ تا مه ۲۰۲۳ فعالیت داشتند با قابلیت‌های زیر شناسایی شد:

1)سرقت اطلاعات ورود به حساب بانکی
2)سرقت اطلاعات کارت
3)پنهان کردن آیکون اپلیکیشن (برای جلوگیری از حذف اپلیکیشن)
4)نفوذ و دسترسی به پیامک و سرقت کد‌های یک بار مصرف
این اپلیکیشن‌ها از نسخه‌های رسمی موجود در کافه‌ بازار تقلید می‌کردند و از طریق چندین وبسایت فیشینگ که برخی به عنوان سرور‌های کنترل و فرماندهی نیز فعالیت داشتند توزیع می‌شدند.

گونه‌های جدید
تیم تحقیقاتی Zimperium متوجه شده است که ۲۴۵ اپلیکیشن در تحقیقات اصلی گزارش نشده‌اند. از این بین، ۲۸ مورد از چشم فعالان صنعتی نیز پنهان بودند.

این موارد رابطه مستقیمی با همان تبهکاران سابق دارند و دو رونوشت جدید از اولین تحقیقات بدافزار بانکداری موبایل ایران را در بر می‌گیرند. اولین رونوشت مشابه گزارش قبلی بود و تنها تفاوت این دو در اهداف خلاصه می‌شد، دومین رونوشت اما تکنیک‌ها و توانمدنی‌های جدیدی را در بر می‌گیرد که نقش کلیدی در موفقیت حملات دارند.

در بخش‌های بعدی این مقاله گونه‌های جدید و قابلیت‌های آنها را بررسی می‌کنیم.

رونوشت شماره ۱: افزایش اهداف
جدای از بانک‌هایی که پیشتر به آنها اشاره شده بود، این اپلیکیشن وجود اپلیکیشن‌های جدید دیگری را نیز بررسی می‌کند. با این حال هیچکدام از آنها دائما هدف حمله باج‌افزار قرار نمی‌گیرند. این موضوع نشان می‌دهد که توسعه‌دهندگان بدافزار می‌خواهند حمله خود را گسترش دهند.

جدول زیر بانک‌هایی که در اولین کارزار هدف قرار گرفتند (در اولین سطر‌ها) و بانک‌های جدیدی که در رونوشت دوم اضافه شدند (خاکستری) را نشان می‌دهد. اهدافی که در رونوشت جدیدی به آنها اشاره شده در تحقیق اولیه نیز مورد اشاره قرار گرفتند اما هنوز به طور فعال هدف گرفته نمی‌شوند. این جدول همچنین اهداف جدیدی که از آنها بهره‌برداری نمی شود را نیز نشان می‌دهد (خاکستری روشن.)

ما علاوه بر کشف بانک‌های جدید متوجه شدیم که تبهکاران اندیشه‌های بزرگتری را در سر داشته و فعالیت خود را نیز گسترش داده‌اند زیرا اطلاعات مربوط به وجود چندین اپلیکیشن کیف‌ پول رمزارزی را نیز جمع‌آوری می‌کنند. با توجه به روند توسعه گونه‌های سابق بد‌افزاری، به احتمال زیاد در آینده نزدیک این کیف‌ پول‌های رمزارزی هدف حمله قرار می‌؛یرند. جدول زیر لیست کامل اپلیکیشن‌های هدف این کارزار را نشان می‌دهد.

رونوشت ۲: قابلیت‌های جدید
دومین نسخه این بدافزار قابلیت‌های جدید زیادی دارد. در این بخش این قابلیت‌های جدید را بررسی می‌کنیم.

سو استفاده از دسترسی به خدمت
بدافزار با استفاده از خدمات دسترسی رو صفحات قرار گرفته و اطلاعات ورود به حساب و جزئیات کارت بانکی را استخراج می‌کند.

حمله به این صورت است که بدافزار اپلیکیشن‌های باز را بررسی کرده و اگر اپلیکیشن در لیست هدف باشد، یک صفحه وب‌ویو با یک URL فیشینگ از اپلیکیشن را باز می‌کند. در نسخه‌های پیشین بد‌افزار، حمله با استفاده از یک فایل داخلی که از طریق «content://» واکشی می‌شد انجام می‌گرفت. از آنجایی که در نسخه فعلی می‌توان همواره نسخه وب‌ویو را اصلاح کرد، مهاجم انعطاف بیشتری دارد.

علاوه بر این خدمات دسترسی برای موارد نیز به کار می‌روند:

*جواز خودکار برای دسترسی به پیامک
*جلوگیری از حذف اپلیکیشن
*جستجو و کلیک روی عناصر UI (رابط کاربری)

استخراج داده
بررسی سرور‌های کنترل و فرماندهی (C&C) این کارزار نشان می‌دهد که برخی از این سرور‌ها حاوی دیرکتوری‌هایی حاوی کد PHP هستند. با تحلیل این کد‌ها، می‌توان درک بهتری از استخراج داده قربانیان به دست آورد.

استفاده از GitHub برای اشتراک‌گذاری URL نهایی C&C
مشاهدات ما نشان می‌دهد که برخی از نسخه‌ها با بایگانی‌های کدی در Github در ارتباط هستند. بررسی دقیق تر نشان داد که این بایگانی‌های کد حاوی یک فایل README با متنی هستند که با base64 رمزنگاری شده و URL به روز مربوط به سرور C&C و فیشینگ را ارائه می‌کند.

درنتیجه مهاجمان خیلی سریع با بروزرسانی بایگانی کد در GitHub می‌توانند به بسته شدن سایت‌های فیشینگ واکنش نشان داده و اطمینان حاصل کنند که اپلیکشین‌های آلوده همواره به سایت‌های فیشینگ فعال دسترسی دارند. شکل ۳ اسکرین‌شاتی از یک بایگانی‌ مورد استفاده در این کارزار را نشان می دهد. رشته کد موجود در فایل README.md که با الگوریتم base64 رمزنگاری شده به صورت زیر است:

api_link”:”hxxps://sadeaft.site/rat/”,”api_web”:”hxxps://sadertac-web.click/”

این شکل کد اندرویدی را نشان می‌دهد که اپلیکیشن با استفاده از آن با بایگانی GitHub ارتباط گرفته و آخرین سایت فیشینگ را متوجه می‌شود. در نمونه کد زیر مشاهده می :نید که اپلیکیشن چطور اتصالی با بایگانی Github برقرار کرده و فایل README.md را می‌خواند. در ادامه این کد، اپلیکیشن با استفاده از تابع‌های کاربردی خود این رشته را رمزگشایی می کند.

حساب‌هایی که در این کارزار استفاده شده‌اند پس از گزارش ما به GitHub مبنی بر نقض شرایط استفاده حذف شده‌اند.

ترفند رایج دیگری که برای واکشی ساسیت‌های فعال فیشینگ استفاده می‌شود به این صورت است که از C&C تنها با هدف توزیع لینک‌های فعال استفاده می‌شود. با استفاده از این رویکرد URL سرور به صورت غیرقابل تغییر در اپلیکیشن قرار می‌گیرند و خطری برای غیرفعال شدن آدرس وجود ندارد.

بدافزار موبایل بانک ایرانی: حملات خاص گوشی‌ها

یکی از معایب استفاده از خدمات دسترسی، لزوم دریافت اجازه از کاربر است. به همین دلیل، مهاجمان حملات خاصی را برای برند‌های مختلف گوشی در دستور کار قرار داده‌اند. این کارزار به ویژه گوشی‌های شیائومی و سامسونگ را هدف می‌گیرد.

احتمال هدف‌گیری iOS
سایت‌های فیشینگی این بدافزار، باز شدن صفحه از طریق یک دستگاه iOS را نیز بررسی می‌کند. در این صورت، وبسایتی که نسخه iOS اپلیکیشن را تقلید می‌کند به کاربر نمایش داده می‌شود، با این حال هنوز نتوانستیم فایل‌های IPA مربوط به فراخوان وب‌ویو در نسخه iOS را پیدا کنیم. این موضوع نشان می‌دهد که در حال حاضر کارزار iOS یا در دست توسعه است و یا از طریق یک منبع ناشناخته توزیع می‌شود.

تجزیه تحلیل کانال تلگرامی
کارزارهای فیشینگ پیچیده تلاش می‌کنند تا سایت‌های اصلی را تا بیشترین حد ممکن تقلید کنند. شکل ۹ نمونه‌ای از سایتی را نشان می‌دهد که از کاربر درخواست می‌کند تا وارد حساب شده یا ثبت نام کند. در این شکل صفحه های مربوط به هر گزینه را مشاهده می‌کنید.