Gerdab.IR | گرداب

به گزارش گرداب، طی یک جستجوی پیشگیرانه برای بدافزار‌های تلفن همراه، محققان Sophos X-Ops از SophosLabs مجموعه‌ای متشکل از چهار اپلیکیشن جمع‌آوری‌کننده اعتبار را کشف کردند که مشتریان چندین بانک ایرانی را هدف قرار می‌دهند. اکثر اپلیکیشن‌ها دارای گواهینامه یکسان (احتمالاً سرقت شده) هستند و برخی از جزئیات آن‌ها مشابه یک‌دیگر است. هدف این اپلیکیشن‌ها بانک‌های ملت، صادرات، رسالت و مرکزی هستند.

«پایگاه رسانه‌ای گرداب جهت آگاهی و افزایش دانش مخاطبان خود به ترجمه و انتشار مطالبی در حوزه‌های مختلف فناوری اقدام می‌کند. انتشار مطالب به معنای تایید محتوای آن نیست».

همه اپلیکیشن‌هایی که بین دسامبر ۲۰۲۲ و مه ۲۰۲۳ برای دانلود در دسترس بودند، اطلاعات ورود به بانکداری اینترنتی و جزئیات کارت اعتباری را جمع‌آوری می‌کنند و چندین قابلیت دیگر از جمله پنهان کردن آیکون‌های خود جهت مخفی ماندن، رهگیری پیامک‌های بانکی یا مانع از رسیدن پیام‌های مربوط به احراز هویت چند عاملی به کاربر را دارند. در حالی که این عملکرد برای چنین بدافزار‌های بانکداری مورد انتظار است، ما در این کمپین با چند ویژگی عجیب و غریب مواجه شدیم که ما را مجذوب خود کرد، از جمله مکانیزم غیرمعمول C2، یک گواهی احتمالاً دزدیده شده و نشانه‌هایی از ایجاد کمپین‌های احتمالی در آینده.

نصب و راه‌اندازی

بعد از نصب، بدافزار پیامی را برای کاربر نمایش می‌دهد و از او می‌خواهد مجوز خواندن پیامک‌ها را بدهد.

یکی از برنامه‌های مخرب پس از نصب پیامی را به کاربر نمایش می‌دهد

در این پیام آمده است: «درخواست مجوز خواندن پیامک. کاربر گرامی، جهت خواندن خودکار پیامک‌های مربوط به کد فعالسازی و رمز تراکنش‌های مالی اخذ این دسترسی لازم است. در صورت عدم تأیید، خواندن اتوماتیک کد‌های مذکور امکان‌پذیر نمی‌باشد».

سپس یک گفتگوی استاندارد اندروید را برای درخواست مجوز نمایش می‌دهد:

برنامه مخرب با جعل هویت بانک ملت، پیام درخواست مجوز اندروید را نمایش می‌دهد.

جمع‌آوری اعتبار و داده‌ها

پس از این که کاربر مجوز را اعطا کرد، با صفحه ورود به سیستم مواجه می‌شود:

صفحه ورود به سیستم ارائه شده به کاربر

این صفحه ورود شماره تلفن، نام کاربری و رمز عبور کاربر را درخواست می‌کند. لینک اول از سمت چپ و پایین دکمه قرمز «ورود»، کاربر را از طریق کروم به وبسایت قانونی بانک ملت هدایت می‌کند. بقیه لینک‌ها و همه موارد نمایش داده شده یا غیرفعال هستند یا دکمه‌های ساختگی که هیچ عملکردی ندارند.

هنگامی که کاربر اطلاعات خود را وارد می‌کند، برنامه‌ها داده‌ها را به سرور C2 ارسال می‌کنند و از کاربر تاریخ تولد می‌خواهند که آن هم برای مهاجمان ارسال می‌شود. برای جلوگیری از شناسایی شدن، برنامه‌ها یک پیغام خطا نشان می‌دهند که به کاربر اطلاع می‌دهد درخواست او ارسال شده است و حساب بانکی او ظرف ۲۴ ساعت فعال می‌شود. به این ترتیب، فرصتی برای مهاجمان ایجاد می‌شود تا از اعتبار سرقت شده استفاده کنند و یا آن را بفروشند.

بخشی از یکی از برنامه‌های مخرب که روال ارسال اطلاعات سرقت شده به سرور C2 را نشان می‌دهد

روال برنامه مخرب برای ارسال پیامک و جزئیات کارت اعتباری به مهاجمان

همانطور که اشاره کردیم، برنامه‌های مخرب می‌توانند آیکون‌های خود را در صورت دریافت فرمان خاصی از سوی اپراتور بدافزار مخفی کنند. این یک ترفند رایج برای فریب دادن کاربران است تا تصور کنند برنامه حذف شده، در حالی که در واقع هنوز روی دستگاه آن‌ها اجرا می‌شود.

روال پنهان کردن آیکون برنامه مخرب

توزیع و کنترل

نسخه‌های قانونی از برنامه‌های مخرب در کافه بازار که یک بازار اندروید ایرانی است، موجود می‌باشد و میلیون‌ها بار دانلود شده است. از سوی دیگر، دانلود این برنامه‌ها از تعداد زیادی دامنه نسبتاً جدید امکان‌پذیر بود که مهاجمان از برخی از آن‌ها به عنوان سرور‌های C2 استفاده می‌کردند. علاوه بر این، برخی از دامنه‌ها صفحات فیشینگ HTML را نیز ارائه می‌کنند که برای سرقت اعتبار از کاربران موبایل طراحی شده‌اند.

یک صفحه فیشینگ HTML از یکی از دامنه‌های سرویس دهنده به برنامه

مشخص نیست مهاجمان چگونه کاربران را متقاعد کردند که برنامه‌ها را از این دامنه‌ها دانلود کنند. کمپین‌های بدافزار بانکی مشابه از فیشینگ پیامکی (smishing) با لینک‌هایی به برنامه‌های جعلی استفاده می‌کنند، اما از آن جایی که ما هیچ مورد واقعی در دسترس برای بررسی نداریم نمی‌توانیم مطمئن باشیم که آیا از این ترفند در اینجا استفاده شده است یا خیر.

در حالی که دامنه‌هایی که برنامه‌ها را میزبانی می‌کردند اکنون برچیده شده‌اند، برخی از دامنه‌های C2 هنوز فعال هستند. در مورد خود مکانیزم C2، این کمپین در واقع از دو روش استفاده می‌کند. بدافزار برای ارسال اعتبار و داده‌های دزدیده شده به مهاجمان، برای ارتباط C2 به HTTPS متکی است (اگرچه در برخی موارد این HTTP ساده است، داده‌های سرقتی جهت استفاده در فعالیت‌های آتی، حین انتقال در دسترس هستند).

نمونه‌ای از یک پیامک ساختگی که در حین آزمایش برنامه‌های مخرب به سرور C2 ارسال شد

با این حال، برای برخی از اقدامات مانند پنهان کردن آیکون برنامه یا بازیابی پیامک‌ها این بدافزار از Firebase Cloud Messaging (FCM) استفاده می‌کند که یک کتابخانه بین پلتفرمی توسعه داده شده توسط گوگل است و به برنامه‌ها اجازه می‌دهد تا پی‌لود‌های کوچک (حداکثر ۴۰۰۰ بایت) را به فضای ابری ارسال و از آن دریافت کنند. FCM معمولاً از پورت ۵۲۲۸ استفاده می‌کند، اما ممکن است از پورت‌های ۴۴۳، ۵۲۲۹ و ۵۲۳۰ نیز استفاده کند. در حالی که استفاده از FCM به عنوان مکانیزم C2 جدید نیست (در سال ۲۰۲۰ هکر DoNot و در دسامبر ۲۰۲۲ کمپینی که داده‌های فیس‌بوک را هدف قرار می‌داد از آن سوء استفاده کرد) با این وجود نسبتاً غیر معمول است. دو مزیت برای مهاجم دارد؛ اول این که او را قادر می‌سازد تا فعالیت C2 خود را در ترافیک مورد انتظار اندروید مخفی سازد و دوم از شهرت و انعطاف‌پذیری سرویس‌های مبتنی بر ابر استفاده کند.

در طول تحقیقات خود، ما متوجه شدیم که حداقل یکی از سرور‌های C2 به نظر می‌رسد یک وب سرور در معرض خطر باشد. به طور خاص، مجتمع آموزش علوم اسلامی کوثر که یک دانشگاه ایرانی است همچنان میزبان کد‌های C2 در قالب چندین فایل PHP است که نشان می‌دهد مهاجمان قصد داشتند از وب سرور دانشگاه به عنوان یک سرور C2 استفاده کنند.

میزبانی کد C2 توسط یک دانشگاه ایرانی

متأسفانه، ما نتوانستیم هیچ یک از فایل‌های PHP را بازیابی کنیم. با این حال متوجه شدیم که یکی دیگر از سرور‌های C2 نیز دایرکتوری thisisphisher []online را داشت. این سایت غیر عادی است و به نظر نمی‌رسد محتوای زیادی داشته باشد. به همین دلیل این احتمال وجود دارد که مهاجمان خودشان این سایت را ثبت و پیکربندی کرده باشند، نه این که از یک وب سرور دیگر سوءاستفاده کرده باشند.

صفحه اصلی thisisphisher [ .]online

با نگاهی به فهرست دایرکتوری (تحت AppRemote_VX، که مهاجمان معمولاً برای میزبانی کد C2 خود استفاده می‌کنند. دایرکتوری‌های دیگر نیز از جمله smsFish و AppRemote_V وجود دارند)، می‌توانیم فایل‌های بیشتری را مشاهده کنیم:

فهرست دایرکتوری برای thisisphisher []online/AppRemote_VX. توجه داشته باشید که این دامنه از وب سرور LiteSpeed نیز استفاده می‌کند

فایل‌های مرتبط با تلگرام در یک زیردایرکتوری همراه با botTel. php در دایرکتوری والد، وجود یک کانال جایگزین احتمالی C2 را نشان می‌دهد

جالب اینجاست که فهرست دایرکتوری اصلی شامل پوشه‌ای با عنوان StarOfLife است.

محتویات دایرکتوری StarOfLife

به نظر می‌رسد این یک چارچوب PHP کوچک پیاده‌سازی شده توسط یک توسعه‌دهنده ایرانی باشد و مهاجمان به نوعی از این چارچوب برای مکانیزم C2 خود استفاده کرده‌اند، یا قصد دارند در آینده استفاده کنند:

مخزن گیت هاب StarOfLife

گواهی سرقتی؟

تعدادی از نمونه‌هایی که کشف کردیم دارای گواهی (7c42deb20377f0e18ec4788312a692ee7aed1917) بودند که قبلاً توسط یک شرکت مشاوره و توسعه فناوری اطلاعات مستقر در مالزی، شبکه ARS، برای تأیید برنامه‌های امن در گوگل پلی ارائه شده بود.

شبکه ARS در گوگل پلی

مشخص نیست مهاجمان چگونه موفق به دریافت این گواهی شده‌اند. Sophos با شرکت تماس گرفته است، اما تا زمان انتشار این مقاله پاسخی دریافت نکرده‌ایم.

نشانه‌هایی از وجود یک طرح گسترده

برخی از نمونه‌هایی که ما جمع‌آوری کردیم چیز عجیبی را نشان می‌دهند. آن‌ها دستگاه آلوده را برای چندین برنامه دیگر مرتبط با بانکداری، پرداخت یا ارز دیجیتال جستجو می‌کنند. لیست برنامه‌ها در بدافزار کدگذاری شده است.

بخشی از روند جستجو برای سایر برنامه‌های مرتبط با امور مالی

این اپلیکیشن‌ها عبارتند از:

پس از اتمام جستجو، بدافزار نتایج را به سرور C2 ارسال می‌کند، اما هیچ اقدام دیگری انجام نمی‌دهد. به نظر ما ممکن است کمپین در آینده متنوع‌تر شود و نسخه‌های جدید از بدافزار احتمالاً این برنامه‌ها را هدف قرار دهند.

نتیجه‌گیری

در حالی که قابلیت‌های برنامه‌های مخرب شناسایی شده (مانند رهگیری پیامک‌ها و پنهان کردن آیکون‌ها) تفاوت چندانی با دیگر بدافزار‌های بانکی ندارد، اما برخی از ویژگی‌های آن قابل توجه بودند. علی‌رغم این که اپلیکیشن‌های مورد بررسی در این مقاله مشتریان انگشت شماری از بانک‌های ایرانی را هدف قرار می‌دهند، فهرست‌های اضافی از برنامه‌های بانکی و ارز‌های دیجیتال که در این بدافزار کدگذاری شده‌اند نشان می‌دهند که این می‌تواند یک کمپین در حال تکامل باشد و ممکن است در آینده به شبکه بزرگ‌تری تبدیل شود. استفاده از Firebase به عنوان مکانیزم C2 نسبتاً نادر است، اما چندین مزیت برای مهاجمان دارد، از جمله استفاده از دامنه‌های قانونی به عنوان سرور‌های C2 و سوءاستفاده از گواهی‌ها جهت تأیید برنامه‌های مخرب.

در زمان نگارش این مقاله، با توجه به تعلیق شدن بسیاری از دامنه‌های C2 و میزبانی ممکن است این کمپین خاص رو به پایان باشد. با این حال، برخی از رفتار‌ها و ویژگی‌هایی که در اینجا بررسی کرده‌ایم نشان می‌دهد که این مهاجمان اهدافی بلندپروازانه دارند و احتمالاً با ترفند‌های جدیدی مجدداً فعالیت خود را آغاز خواهند کرد. کاربران اندروید بهتر است از نصب برنامه‌ها از لینک‌های موجود در ایمیل‌ها، پیامک‌ها یا هر منبع غیرقابل اعتماد دیگر خودداری کنند و از یک برنامه تشخیص تهدید موبایل مانند Sophos Intercept X برای حفظ امنیت موبایل خود در برابر چنین تهدیداتی استفاده نمایند.