بدافزاری که از سوی محققان Banker نامگذاری شده، کاربران موبایلبانک و بانکداری الکترونیکی ایران را هدف گرفته است. دادههای تیم تحقیقاتی شرکت Zimperium نشان میدهد که در اولین کارزار بدافزاری چهار بانک سپه، شهر، ملت و تجارت هدف قرار گرفتهاند و حالا در نسخه دوم این بد افزار بانکهای ملی، پاسارگاد، تجارت و بلو نیز هدف این بدافزار هستند. این کارزار بدافزاری در حال حاضر و با توجه به اطلاعات موجود تنها دستگاههای اندرویدی را هدف قرار داده اما به نظر کارزاری برای دستگاههای iOS نیز در حال توسعه است.
تحقیقات سابق درمورد بدافزاری که بانکداری موبایل ایران را هدف گرفته بود
پیش از این در تحقیقات از چهار دسته اپلیکیشین سرقت اطلاعات ورود به حساب که چهار بانک بزرگ ایران (بانک ملت، صادرات،رسالت و مرکزی) را هدف میگرفتند پردهبرداری شد. طی این بررسیها مجموعا ۴۰ اپلیکیشن که از دسامبر ۲۰۲۲ تا مه ۲۰۲۳ فعالیت داشتند با قابلیتهای زیر شناسایی شد:
1)سرقت اطلاعات ورود به حساب بانکی
2)سرقت اطلاعات کارت
3)پنهان کردن آیکون اپلیکیشن (برای جلوگیری از حذف اپلیکیشن)
4)نفوذ و دسترسی به پیامک و سرقت کدهای یک بار مصرف
این اپلیکیشنها از نسخههای رسمی موجود در کافه بازار تقلید میکردند و از طریق چندین وبسایت فیشینگ که برخی به عنوان سرورهای کنترل و فرماندهی نیز فعالیت داشتند توزیع میشدند.
گونههای جدید
تیم تحقیقاتی Zimperium متوجه شده است که ۲۴۵ اپلیکیشن در تحقیقات اصلی گزارش نشدهاند. از این بین، ۲۸ مورد از چشم فعالان صنعتی نیز پنهان بودند.
این موارد رابطه مستقیمی با همان تبهکاران سابق دارند و دو رونوشت جدید از اولین تحقیقات بدافزار بانکداری موبایل ایران را در بر میگیرند. اولین رونوشت مشابه گزارش قبلی بود و تنها تفاوت این دو در اهداف خلاصه میشد، دومین رونوشت اما تکنیکها و توانمدنیهای جدیدی را در بر میگیرد که نقش کلیدی در موفقیت حملات دارند.
در بخشهای بعدی این مقاله گونههای جدید و قابلیتهای آنها را بررسی میکنیم.
رونوشت شماره ۱: افزایش اهداف
جدای از بانکهایی که پیشتر به آنها اشاره شده بود، این اپلیکیشن وجود اپلیکیشنهای جدید دیگری را نیز بررسی میکند. با این حال هیچکدام از آنها دائما هدف حمله باجافزار قرار نمیگیرند. این موضوع نشان میدهد که توسعهدهندگان بدافزار میخواهند حمله خود را گسترش دهند.
جدول زیر بانکهایی که در اولین کارزار هدف قرار گرفتند (در اولین سطرها) و بانکهای جدیدی که در رونوشت دوم اضافه شدند (خاکستری) را نشان میدهد. اهدافی که در رونوشت جدیدی به آنها اشاره شده در تحقیق اولیه نیز مورد اشاره قرار گرفتند اما هنوز به طور فعال هدف گرفته نمیشوند. این جدول همچنین اهداف جدیدی که از آنها بهرهبرداری نمی شود را نیز نشان میدهد (خاکستری روشن.)
ما علاوه بر کشف بانکهای جدید متوجه شدیم که تبهکاران اندیشههای بزرگتری را در سر داشته و فعالیت خود را نیز گسترش دادهاند زیرا اطلاعات مربوط به وجود چندین اپلیکیشن کیف پول رمزارزی را نیز جمعآوری میکنند. با توجه به روند توسعه گونههای سابق بدافزاری، به احتمال زیاد در آینده نزدیک این کیف پولهای رمزارزی هدف حمله قرار می؛یرند. جدول زیر لیست کامل اپلیکیشنهای هدف این کارزار را نشان میدهد.
رونوشت ۲: قابلیتهای جدید
دومین نسخه این بدافزار قابلیتهای جدید زیادی دارد. در این بخش این قابلیتهای جدید را بررسی میکنیم.
سو استفاده از دسترسی به خدمت
بدافزار با استفاده از خدمات دسترسی رو صفحات قرار گرفته و اطلاعات ورود به حساب و جزئیات کارت بانکی را استخراج میکند.
حمله به این صورت است که بدافزار اپلیکیشنهای باز را بررسی کرده و اگر اپلیکیشن در لیست هدف باشد، یک صفحه وبویو با یک URL فیشینگ از اپلیکیشن را باز میکند. در نسخههای پیشین بدافزار، حمله با استفاده از یک فایل داخلی که از طریق «content://» واکشی میشد انجام میگرفت. از آنجایی که در نسخه فعلی میتوان همواره نسخه وبویو را اصلاح کرد، مهاجم انعطاف بیشتری دارد.
علاوه بر این خدمات دسترسی برای موارد نیز به کار میروند:
*جواز خودکار برای دسترسی به پیامک
*جلوگیری از حذف اپلیکیشن
*جستجو و کلیک روی عناصر UI (رابط کاربری)
استخراج داده
بررسی سرورهای کنترل و فرماندهی (C&C) این کارزار نشان میدهد که برخی از این سرورها حاوی دیرکتوریهایی حاوی کد PHP هستند. با تحلیل این کدها، میتوان درک بهتری از استخراج داده قربانیان به دست آورد.
استفاده از GitHub برای اشتراکگذاری URL نهایی C&C
مشاهدات ما نشان میدهد که برخی از نسخهها با بایگانیهای کدی در Github در ارتباط هستند. بررسی دقیق تر نشان داد که این بایگانیهای کد حاوی یک فایل README با متنی هستند که با base64 رمزنگاری شده و URL به روز مربوط به سرور C&C و فیشینگ را ارائه میکند.
درنتیجه مهاجمان خیلی سریع با بروزرسانی بایگانی کد در GitHub میتوانند به بسته شدن سایتهای فیشینگ واکنش نشان داده و اطمینان حاصل کنند که اپلیکشینهای آلوده همواره به سایتهای فیشینگ فعال دسترسی دارند. شکل ۳ اسکرینشاتی از یک بایگانی مورد استفاده در این کارزار را نشان می دهد. رشته کد موجود در فایل README.md که با الگوریتم base64 رمزنگاری شده به صورت زیر است:
api_link”:”hxxps://sadeaft.site/rat/”,”api_web”:”hxxps://sadertac-web.click/”
این شکل کد اندرویدی را نشان میدهد که اپلیکیشن با استفاده از آن با بایگانی GitHub ارتباط گرفته و آخرین سایت فیشینگ را متوجه میشود. در نمونه کد زیر مشاهده می :نید که اپلیکیشن چطور اتصالی با بایگانی Github برقرار کرده و فایل README.md را میخواند. در ادامه این کد، اپلیکیشن با استفاده از تابعهای کاربردی خود این رشته را رمزگشایی می کند.
حسابهایی که در این کارزار استفاده شدهاند پس از گزارش ما به GitHub مبنی بر نقض شرایط استفاده حذف شدهاند.
ترفند رایج دیگری که برای واکشی ساسیتهای فعال فیشینگ استفاده میشود به این صورت است که از C&C تنها با هدف توزیع لینکهای فعال استفاده میشود. با استفاده از این رویکرد URL سرور به صورت غیرقابل تغییر در اپلیکیشن قرار میگیرند و خطری برای غیرفعال شدن آدرس وجود ندارد.
بدافزار موبایل بانک ایرانی: حملات خاص گوشیها
یکی از معایب استفاده از خدمات دسترسی، لزوم دریافت اجازه از کاربر است. به همین دلیل، مهاجمان حملات خاصی را برای برندهای مختلف گوشی در دستور کار قرار دادهاند. این کارزار به ویژه گوشیهای شیائومی و سامسونگ را هدف میگیرد.
احتمال هدفگیری iOS
سایتهای فیشینگی این بدافزار، باز شدن صفحه از طریق یک دستگاه iOS را نیز بررسی میکند. در این صورت، وبسایتی که نسخه iOS اپلیکیشن را تقلید میکند به کاربر نمایش داده میشود، با این حال هنوز نتوانستیم فایلهای IPA مربوط به فراخوان وبویو در نسخه iOS را پیدا کنیم. این موضوع نشان میدهد که در حال حاضر کارزار iOS یا در دست توسعه است و یا از طریق یک منبع ناشناخته توزیع میشود.
تجزیه تحلیل کانال تلگرامی
کارزارهای فیشینگ پیچیده تلاش میکنند تا سایتهای اصلی را تا بیشترین حد ممکن تقلید کنند. شکل ۹ نمونهای از سایتی را نشان میدهد که از کاربر درخواست میکند تا وارد حساب شده یا ثبت نام کند. در این شکل صفحه های مربوط به هر گزینه را مشاهده میکنید.