محققان Sophos X-Ops مجموعهای از اپلیکیشنهای جمعآوریکننده اعتبار را کشف کردند که مشتریان بانکهای ایرانی را هدف قرار میدهند.
به گزارش گرداب، طی یک جستجوی پیشگیرانه برای بدافزارهای تلفن همراه، محققان Sophos X-Ops از SophosLabs مجموعهای متشکل از چهار اپلیکیشن جمعآوریکننده اعتبار را کشف کردند که مشتریان چندین بانک ایرانی را هدف قرار میدهند. اکثر اپلیکیشنها دارای گواهینامه یکسان (احتمالاً سرقت شده) هستند و برخی از جزئیات آنها مشابه یکدیگر است. هدف این اپلیکیشنها بانکهای ملت، صادرات، رسالت و مرکزی هستند.
«پایگاه رسانهای گرداب جهت آگاهی و افزایش دانش مخاطبان خود به ترجمه و انتشار مطالبی در حوزههای مختلف فناوری اقدام میکند. انتشار مطالب به معنای تایید محتوای آن نیست».
همه اپلیکیشنهایی که بین دسامبر ۲۰۲۲ و مه ۲۰۲۳ برای دانلود در دسترس بودند، اطلاعات ورود به بانکداری اینترنتی و جزئیات کارت اعتباری را جمعآوری میکنند و چندین قابلیت دیگر از جمله پنهان کردن آیکونهای خود جهت مخفی ماندن، رهگیری پیامکهای بانکی یا مانع از رسیدن پیامهای مربوط به احراز هویت چند عاملی به کاربر را دارند. در حالی که این عملکرد برای چنین بدافزارهای بانکداری مورد انتظار است، ما در این کمپین با چند ویژگی عجیب و غریب مواجه شدیم که ما را مجذوب خود کرد، از جمله مکانیزم غیرمعمول C2، یک گواهی احتمالاً دزدیده شده و نشانههایی از ایجاد کمپینهای احتمالی در آینده.
نصب و راهاندازی
بعد از نصب، بدافزار پیامی را برای کاربر نمایش میدهد و از او میخواهد مجوز خواندن پیامکها را بدهد.
یکی از برنامههای مخرب پس از نصب پیامی را به کاربر نمایش میدهد
در این پیام آمده است: «درخواست مجوز خواندن پیامک. کاربر گرامی، جهت خواندن خودکار پیامکهای مربوط به کد فعالسازی و رمز تراکنشهای مالی اخذ این دسترسی لازم است. در صورت عدم تأیید، خواندن اتوماتیک کدهای مذکور امکانپذیر نمیباشد».
سپس یک گفتگوی استاندارد اندروید را برای درخواست مجوز نمایش میدهد:
برنامه مخرب با جعل هویت بانک ملت، پیام درخواست مجوز اندروید را نمایش میدهد.
جمعآوری اعتبار و دادهها
پس از این که کاربر مجوز را اعطا کرد، با صفحه ورود به سیستم مواجه میشود:
صفحه ورود به سیستم ارائه شده به کاربر
این صفحه ورود شماره تلفن، نام کاربری و رمز عبور کاربر را درخواست میکند. لینک اول از سمت چپ و پایین دکمه قرمز «ورود»، کاربر را از طریق کروم به وبسایت قانونی بانک ملت هدایت میکند. بقیه لینکها و همه موارد نمایش داده شده یا غیرفعال هستند یا دکمههای ساختگی که هیچ عملکردی ندارند.
هنگامی که کاربر اطلاعات خود را وارد میکند، برنامهها دادهها را به سرور C2 ارسال میکنند و از کاربر تاریخ تولد میخواهند که آن هم برای مهاجمان ارسال میشود. برای جلوگیری از شناسایی شدن، برنامهها یک پیغام خطا نشان میدهند که به کاربر اطلاع میدهد درخواست او ارسال شده است و حساب بانکی او ظرف ۲۴ ساعت فعال میشود. به این ترتیب، فرصتی برای مهاجمان ایجاد میشود تا از اعتبار سرقت شده استفاده کنند و یا آن را بفروشند.
بخشی از یکی از برنامههای مخرب که روال ارسال اطلاعات سرقت شده به سرور C2 را نشان میدهد
روال برنامه مخرب برای ارسال پیامک و جزئیات کارت اعتباری به مهاجمان
همانطور که اشاره کردیم، برنامههای مخرب میتوانند آیکونهای خود را در صورت دریافت فرمان خاصی از سوی اپراتور بدافزار مخفی کنند. این یک ترفند رایج برای فریب دادن کاربران است تا تصور کنند برنامه حذف شده، در حالی که در واقع هنوز روی دستگاه آنها اجرا میشود.
روال پنهان کردن آیکون برنامه مخرب
توزیع و کنترل
نسخههای قانونی از برنامههای مخرب در کافه بازار که یک بازار اندروید ایرانی است، موجود میباشد و میلیونها بار دانلود شده است. از سوی دیگر، دانلود این برنامهها از تعداد زیادی دامنه نسبتاً جدید امکانپذیر بود که مهاجمان از برخی از آنها به عنوان سرورهای C2 استفاده میکردند. علاوه بر این، برخی از دامنهها صفحات فیشینگ HTML را نیز ارائه میکنند که برای سرقت اعتبار از کاربران موبایل طراحی شدهاند.
یک صفحه فیشینگ HTML از یکی از دامنههای سرویس دهنده به برنامه
مشخص نیست مهاجمان چگونه کاربران را متقاعد کردند که برنامهها را از این دامنهها دانلود کنند. کمپینهای بدافزار بانکی مشابه از فیشینگ پیامکی (smishing) با لینکهایی به برنامههای جعلی استفاده میکنند، اما از آن جایی که ما هیچ مورد واقعی در دسترس برای بررسی نداریم نمیتوانیم مطمئن باشیم که آیا از این ترفند در اینجا استفاده شده است یا خیر.
در حالی که دامنههایی که برنامهها را میزبانی میکردند اکنون برچیده شدهاند، برخی از دامنههای C2 هنوز فعال هستند. در مورد خود مکانیزم C2، این کمپین در واقع از دو روش استفاده میکند. بدافزار برای ارسال اعتبار و دادههای دزدیده شده به مهاجمان، برای ارتباط C2 به HTTPS متکی است (اگرچه در برخی موارد این HTTP ساده است، دادههای سرقتی جهت استفاده در فعالیتهای آتی، حین انتقال در دسترس هستند).
نمونهای از یک پیامک ساختگی که در حین آزمایش برنامههای مخرب به سرور C2 ارسال شد
با این حال، برای برخی از اقدامات مانند پنهان کردن آیکون برنامه یا بازیابی پیامکها این بدافزار از Firebase Cloud Messaging (FCM) استفاده میکند که یک کتابخانه بین پلتفرمی توسعه داده شده توسط گوگل است و به برنامهها اجازه میدهد تا پیلودهای کوچک (حداکثر ۴۰۰۰ بایت) را به فضای ابری ارسال و از آن دریافت کنند. FCM معمولاً از پورت ۵۲۲۸ استفاده میکند، اما ممکن است از پورتهای ۴۴۳، ۵۲۲۹ و ۵۲۳۰ نیز استفاده کند. در حالی که استفاده از FCM به عنوان مکانیزم C2 جدید نیست (در سال ۲۰۲۰ هکر DoNot و در دسامبر ۲۰۲۲ کمپینی که دادههای فیسبوک را هدف قرار میداد از آن سوء استفاده کرد) با این وجود نسبتاً غیر معمول است. دو مزیت برای مهاجم دارد؛ اول این که او را قادر میسازد تا فعالیت C2 خود را در ترافیک مورد انتظار اندروید مخفی سازد و دوم از شهرت و انعطافپذیری سرویسهای مبتنی بر ابر استفاده کند.
در طول تحقیقات خود، ما متوجه شدیم که حداقل یکی از سرورهای C2 به نظر میرسد یک وب سرور در معرض خطر باشد. به طور خاص، مجتمع آموزش علوم اسلامی کوثر که یک دانشگاه ایرانی است همچنان میزبان کدهای C2 در قالب چندین فایل PHP است که نشان میدهد مهاجمان قصد داشتند از وب سرور دانشگاه به عنوان یک سرور C2 استفاده کنند.
میزبانی کد C2 توسط یک دانشگاه ایرانی
متأسفانه، ما نتوانستیم هیچ یک از فایلهای PHP را بازیابی کنیم. با این حال متوجه شدیم که یکی دیگر از سرورهای C2 نیز دایرکتوری thisisphisher []online را داشت. این سایت غیر عادی است و به نظر نمیرسد محتوای زیادی داشته باشد. به همین دلیل این احتمال وجود دارد که مهاجمان خودشان این سایت را ثبت و پیکربندی کرده باشند، نه این که از یک وب سرور دیگر سوءاستفاده کرده باشند.
صفحه اصلی thisisphisher [ .]online
با نگاهی به فهرست دایرکتوری (تحت AppRemote_VX، که مهاجمان معمولاً برای میزبانی کد C2 خود استفاده میکنند. دایرکتوریهای دیگر نیز از جمله smsFish و AppRemote_V وجود دارند)، میتوانیم فایلهای بیشتری را مشاهده کنیم:
فهرست دایرکتوری برای thisisphisher []online/AppRemote_VX. توجه داشته باشید که این دامنه از وب سرور LiteSpeed نیز استفاده میکند
فایلهای مرتبط با تلگرام در یک زیردایرکتوری همراه با botTel. php در دایرکتوری والد، وجود یک کانال جایگزین احتمالی C2 را نشان میدهد
جالب اینجاست که فهرست دایرکتوری اصلی شامل پوشهای با عنوان StarOfLife است.
محتویات دایرکتوری StarOfLife
به نظر میرسد این یک چارچوب PHP کوچک پیادهسازی شده توسط یک توسعهدهنده ایرانی باشد و مهاجمان به نوعی از این چارچوب برای مکانیزم C2 خود استفاده کردهاند، یا قصد دارند در آینده استفاده کنند:
مخزن گیت هاب StarOfLife
گواهی سرقتی؟
تعدادی از نمونههایی که کشف کردیم دارای گواهی (7c42deb20377f0e18ec4788312a692ee7aed1917) بودند که قبلاً توسط یک شرکت مشاوره و توسعه فناوری اطلاعات مستقر در مالزی، شبکه ARS، برای تأیید برنامههای امن در گوگل پلی ارائه شده بود.
شبکه ARS در گوگل پلی
مشخص نیست مهاجمان چگونه موفق به دریافت این گواهی شدهاند. Sophos با شرکت تماس گرفته است، اما تا زمان انتشار این مقاله پاسخی دریافت نکردهایم.
نشانههایی از وجود یک طرح گسترده
برخی از نمونههایی که ما جمعآوری کردیم چیز عجیبی را نشان میدهند. آنها دستگاه آلوده را برای چندین برنامه دیگر مرتبط با بانکداری، پرداخت یا ارز دیجیتال جستجو میکنند. لیست برنامهها در بدافزار کدگذاری شده است.
بخشی از روند جستجو برای سایر برنامههای مرتبط با امور مالی
این اپلیکیشنها عبارتند از:
پس از اتمام جستجو، بدافزار نتایج را به سرور C2 ارسال میکند، اما هیچ اقدام دیگری انجام نمیدهد. به نظر ما ممکن است کمپین در آینده متنوعتر شود و نسخههای جدید از بدافزار احتمالاً این برنامهها را هدف قرار دهند.
نتیجهگیری
در حالی که قابلیتهای برنامههای مخرب شناسایی شده (مانند رهگیری پیامکها و پنهان کردن آیکونها) تفاوت چندانی با دیگر بدافزارهای بانکی ندارد، اما برخی از ویژگیهای آن قابل توجه بودند. علیرغم این که اپلیکیشنهای مورد بررسی در این مقاله مشتریان انگشت شماری از بانکهای ایرانی را هدف قرار میدهند، فهرستهای اضافی از برنامههای بانکی و ارزهای دیجیتال که در این بدافزار کدگذاری شدهاند نشان میدهند که این میتواند یک کمپین در حال تکامل باشد و ممکن است در آینده به شبکه بزرگتری تبدیل شود. استفاده از Firebase به عنوان مکانیزم C2 نسبتاً نادر است، اما چندین مزیت برای مهاجمان دارد، از جمله استفاده از دامنههای قانونی به عنوان سرورهای C2 و سوءاستفاده از گواهیها جهت تأیید برنامههای مخرب.
در زمان نگارش این مقاله، با توجه به تعلیق شدن بسیاری از دامنههای C2 و میزبانی ممکن است این کمپین خاص رو به پایان باشد. با این حال، برخی از رفتارها و ویژگیهایی که در اینجا بررسی کردهایم نشان میدهد که این مهاجمان اهدافی بلندپروازانه دارند و احتمالاً با ترفندهای جدیدی مجدداً فعالیت خود را آغاز خواهند کرد. کاربران اندروید بهتر است از نصب برنامهها از لینکهای موجود در ایمیلها، پیامکها یا هر منبع غیرقابل اعتماد دیگر خودداری کنند و از یک برنامه تشخیص تهدید موبایل مانند Sophos Intercept X برای حفظ امنیت موبایل خود در برابر چنین تهدیداتی استفاده نمایند.