کشف یک بدافزار خطرناک اندرویدی در اپلیکیشن‌ های چند بانک ایرانی

شهر سخت افزار/ حذف شدن بسیاری از اپلیکیشن‌های ایرانی از فروشگاه‌های معتبر نرم‌افزاری نظیر گوگل پلی و همچنین فیلتر شدن این فروشگاه‌ها، فضا را برای جولان انواع و اقسام بدافزارها باز کرده است. در همین شرکت امنیتی سایبری Sophos اعلام کرده که هکرها با جعل اپلیکیشن‌های همراه بانک‌ در حال جمع‌آوری داده‌های مشتریان بانک‌های ایرانی هستند.

مهندسان شرکت امنیتی Sophos به تازگی از وجود بدافزاری جدید پرده برداشتند که در فاز اول فعالیت خود اطلاعات مشتریان چهار بانک ایرانی را سرقت کرده است. مشتریان چهار بانک ملت و بانک صادرات و بانک رسالت و بانک مرکزی ایران در معرض این حمله هکری قرار داشته‌اند.

بدافزار‌های مربوطه دقیقاً ظاهری مشابه اپلیکیشن‌های همراه بانک داشته‌اند، به طوری که کاربران با کلیک روی برخی از قسمت‌های آن به سایت بانک مربوطه هدایت می‌شدند. همچنین بدافزارهای مورد اشاره با استفاده از گواهی دیجیتالی سرقت شده از یک شرکت در مالزی در فروشگاه‌های نرم‌افزاری مانند کافه بازار نیز حضور داشته و میلیون‌ها بار دانلود شده‌اند.

این بدافزارها از دسامبر 2022 (آذر 1401) و مه 2023 (اردیبهشت 1402) برای دانلود در دسترس بوده و جزئیات مربوط به اطلاعات ورود به بانکداری اینترنتی و کارت عابر بانک را جمع‌آوری می‌کردند. حتی این بدافزارهای می‌توانستند آیکون خود را مخفی‌ نگه‌داشته و حتی پس از حذف آنها نیز در پس زمینه فعال باشند و پیامک‌های دریافتی برخی از بانک‌ها را ردیابی کنند.

کاربران با نصب و اجرای این بدافزارها تفاوتی با اپلیکیشن‌های رسمی همراه بانک مشاهده نمی‌کنند. این شباهت در کدها و ظاهر برنامه به قدری زیاد است که ظن ارتباط میان سازندگان اپلیکیشن همراه بانک با هکرها را تقویت می‌کند. این بدافزار پس از نصب روی گوشی، از کاربر می‌خواهد که مجوز خواندن پیامک را تایید کند.پس از آن کاربر با صفحه‌ای روبرو می‌شود که باید نام کاربری و رمز عبور خود را وارد کند.

لازم به ذکر است بیشتر گزینه‌های این بدافزار واقعی بوده و کاربر را به سایت بانک هدایت می‌کند و همین امر موجب شده تشخیص اپلیکیشن واقعی از بدافزار بسیار سخت شود. این بدافزار در ادامه از کاربر می‌خواهد نام کاربری و رمز عبور همراه بانک خود را وارد کند.

پس از آن تاریخ تولد کاربر نیز دریافت شده و برای سرورهای مختلف ارسال می‌گردد. همچنین پیغامی برای کاربر نمایش داده می‌شود مبنی بر اینکه تا 24 ساعت آینده حساب کاربری شما فعال خواهد شد. این امر به مهاجمان فرصت می‌دهد تا به حساب بانکی کاربر دست‌برد بزنند.

نکته جالب اینکه برخی از این سرورها در داخل کشور قرار داشته و یکی از آنها متعلق به یک دانشگاه بوده که احتمالاً مورد سو استفاده قرار گرفته است. همچنین بدافزار مورد اشاره به محض نصب روی گوشیهوشمند به دنبال سایر برنامه‌های مالی برای سایر بانکها و موسسات اعتباری گشته و گزارش آن را برای مهاجمان ارسال می‌کند.

در کانال آی‌تی و ™CanaleIT هم کلی عکس و ویدئوی دسته اول و جذاب داریم