شرکت امنیت سایبری «چکپونیت» چهارشنبه دهم آذرماه، گزارشی تخصصی از تحقیقات خود در خصوص سرقت میلیاردها ریال از داراییهای شهروندان ایرانی را با استفاده از پیامکهای جعلی منتشر کرد.
تحقیقات این شرکت آمریکایی-اسراییلی نشان داده که بازیگران پشت پرده این پیامکهای جعلی، با جعل عنوان سازمانهای دولتی، دهها هزار شهروند ایرانی را هدف قرار داده و بدافزاری را بر روی دستگاههای اندرویدی آنها نصب کردهاند که قادر است، اطلاعات حساسی همچون کارتهای بانکی و حتی کدهای احراز هویت دو مرحلهای قربانیان را به سرقت ببرد.
«ساموئل کوهن» (Shmuel Cohen) محقق شرکت چکپوینت و نویسنده این گزارش فنی-تحلیلی، با اشاره به سطح پایین حفاظت از دادههای شهروندان ایرانی (OPSEC) و رشد روز افزون توانمندی و امکانات هکرها نوشته، داستان از این قرار است که در ماههای اخیر، پیامکهایی حاوی یک لینک آلوده در سطح وسیع به شهروندان ایرانی ارسال شده که از آنها جزییات کارت اعتباریشان را طلب میکرد و اگر چنین اطلاعاتی از سوی شهروندان ارائه میشد، در زمانی کوتاه تمام داراییهای آنها به سرقت میرفت.
اما برخلاف روشهای پیشین، مانند تروجان (Flubot) که از طریق تزریق کد اقدام به سرقت اطلاعات قربانی میکنند، این حملههای پیامکی به دریافت اطلاعات بانکی از سوی قربانی متکی است. هکرها با پرداخت مبلغ اندک، انبوهی از پیامکهای به ظاهر قانونی و متعلق به سازمانهای دولتی را به شهروندان ارسال و به همراه آن یک بدافزار ارسال میکند که قادر است، علاوه بر جمعآوری شماره کارتهای بانکی، پیامک حاوی کد احراز هویت دو مرحلهای قربانیان (2FA) را نیز به سرقت ببرد. ارسالکنندگان پیامکهای جعلی با همین روش تاکنون به طور میانگین، مبلغی بین هزار تا دو هزار دلار از قربانیان خود به سرقت بردهاند.
زنجیره آلودهسازی تلفنهای شهروندان ایرانی از طریق پیامک
این سرقت گسترده پیامکی نوعی حمله «فیشینگ» یا فریب قربانی است. پیامکهای جعلی ارسالی حاوی متنی است که به گیرنده در خصوص طرح یک شکایت قضایی علیه او هشدار داده و از او میخواهد که برای دریافت اطلاعات بیشتر، بر روی لینک انتهای پیامک کلیک کند. محتوای حساس که در نگاه اول کمتر قربانی به صحت آن توجه میکند. با کلیک بر روی این لینک، قربانی به یک وبسایت جعلی، مشابه وبسایت قوه قضاییه هدایت میشود که در آن گفته شده، به دلیل محدودیتهای کرونایی و عدم امکان مراجعه به شعبات قضایی باید اطلاعات همچون تلفن و کد ملی خود را وارد کند. در این مرحله، به صورت خودکار یک بدافزار نسخه اندروید، با فرمت (apk) بر روی دستگاه قربانی بارگیری میشود که زمینه را برای سرقت اطلاعات محرمانه او فراهم میکند. صفحه جدید گشوده شده، نسخه جعلی است از سرویس احراز هویت سانا (سامانه اطلاعرسانی الکترونیکی قضایی ایران) که ضمن درخواست درج تلفن و شماره ملی قربانی، از او میخواهد که بین بیست تا ۵۰ هزار ریال برای مشاهده نتیجه پرداخت کند. مبلغی که به دلیل ناچیز بودن آن، مشروع به نظر آمده و چندان حساسیتی از قربانی بر نمیانگیزد. مرحله آخر صفحه جعلی دیگری مشابه درگاه بانکی است که قربانی باید مشخصات کارت بانکی خود را وارد کند. در صورت درج این اطلاعات، پیام خطایی نمایش داده شده و به قربانی اطلاع داده میشود که فرایند با خطا مواجه و پرداخت او ناموفق مانده است. در این مرحله قربانی ممکن است تلاش خود را برای ادامه کار متوقف کند، اما اطلاعات بانکی او در اختیار هکرها بوده و آنها قادر هستند که با استفاده از بدافزاری که روی تلفن همراه او نصب کردهاند، هر زمان که مایل باشند با تکنیک «درب پشتی» (Backdoor) به پیامک احراز هویت دو مرحلهای دسترسی داشته و از آن برای نفوذ به حساب بانکی او استفاده کنند.
قابلیتهای بدافزاری که هکرهای بر روی دستگاههای اندروید نصب کردهاند، عبارت است از:
- سرقت پیامکهای قربانی و انتقال آن به سرور هکرها
- توانایی بالا در مخفی شدن و ماندگاری در دستگاه قربانی
- دور زدن احراز هویت دو مرحلهای قربانیان (2FA)
- قابلیتهای بالا در حوزه باتنت، ازجمله امکان برقرار ارتباط با سرور فرمان و کنترل هکرها، با استفاده از سرویس ابری پیامک فایربیس (Firebase Cloud Messaging)
- توانایی کرمپذیری (Wormability)، ازجمله ارسال پیامک به دفترچه تلفن قربانی که یک نسخه از آن در سرور هکرها ذخیره شده است.
این بدافزار با استفاده از (Basic for Android (b4a)) ساخته شده که به عنوان یک پروژه متنباز از سوی (Anywhere Software) برای توسعه نسخههای بومی اندروید ارائه میشود. فعالیت مخرب بدافزار نیازمند صدور برخی مجوزها از سوی کاربر، مانند دسترسی به پیامک و اینترنت است. در حوزههای دیگر نیز بدافزار نیازمند مجوزهایی است که مجوزهای خاص سرویس (Google Firebase) از آن جمله هستند.
بد افزار در آغاز کار، چهار مجوز دریافت پیامک، خواندن، ارسال و همچنین مشاهده محتوای آن را از دستگاه قربانی دریافت کرده و تابعی بهنام (mutex) ایجاد میکند تا وجود و یا عدم وجود فایل (set.txt) را بررسی کند. در صورت عدم وجود، این فایل توسط بدافزار ایجاد شده و دستگاه قربانی از طریق فایلی بهنام «port» در مسیر (/assets/port.txt) به آدرس سرور هکرها (https://hardcoded_panel_domain/ + port + /panel.php.) متصل میشود. در سرور هکرها پروندهای با شناسهای اختصاصی برای دستگاه قربانی ایجاد شده و یک نسخه از تمام پیامکهای او در فایلی بهنام (sms.txt) گردآوری به سرور منتقل میشود.
در مرحله بعدی، کار حمله فیشینگ آغاز شده و طرحبندیهای جریان از فایل (mon) در مسیر (assets/mon.bal) و آدرس صفحات جعلی از فایل (url) در مسیر (assets/url.txt) بارگیری میشود. سپس شناسه اختصاصی دستگاه قربانی به آدرس صفحه جعلی ارسال میشود تا در صورت درج اطلاعات کارت بانکی توسط قربانی، این اطلاعات با کدهای (PHP) به سرور هکرها منتقل و در پرونده مخصوص او خیره شود.
بدافزار علاوه بر بازیابی پیامکهای قربانی و ارسال آن به هکرها، پیامک احراز هویت دو مرحلهای قربانیان را نیز رصد کرده و از همین طریق آن را به سرور هکرها ارسال میکند. در نسخه توسعهیافته این بدافزار، امکانی بهنام (isbank) وجود دارد که میتواند مشخص کند که پیامک احراز هویت دومرحلهای از چه بانکی ارسال شده است. علاوه براین، استفاده این بدافزار از سرویس پیامرسان موضوعی (FCM)، این امکان را فراهم میکند که بدافزار براساس «پورتها» به دستگاههایی که موضوع خاصی را انتخاب کردهاند، به صورت اختصاصی پیامک ارسال کند.
همچنین بدافزار قادر است با ایجاد فایلی بهنام (Message.oliver) مربوط به محتوای ارسالی و فایل دیگری بهنام (Numbers.oliver) مربوط به تعداد در سرور هکرها، از طریق دستگاه آلوده قربانی به افرادی دیگری که به صورت بالقوه امکان هک شدن دارند، پیامک ارسال کند.
هکرها معمولا زیرساختهای صفحات فیشینگ خود را با دامنههای مجانی مانند (gq)، (xyz)، (cf)، (ml) و (tk) راهاندازی میکنند. کدهای صفحههای جعلی نیز از چند کانال تلگرام و یک حساب کاربری در مخزن «گیتهاپ» (Github) تهیه شده است. این صفحهها حاوی کدهایی به زبان (PHP) است که امکان مدیریت و ارسال اطلاعات دریافت شده از قربانی را به رباتهای تلگرامی فراهم میکند.
تحقیقات نشان داده که دامنههای مرتبط با هکرها در بدافزار کدگذاری شده و در برخی موارد آدرس آیپی آن (45.153.241[.]194 ) با دامنههای صفحات فیشینگ به اشتراک گذاشته شده که این خود نشانگر آن است که مجموعه این زیرساختها متعلق به یک بازیگر است.
محققان شرکت چکپوینت، تنها در دامنه (oliverdnssop[.]cf) متعلق به هکرها، ده کمپین مختلف از این حمله کشف کردهاند که اطلاعات مختلفی از جمله فهرست تمام پیامکهای دزدیده شده از قربانیان، فهرست تمام پیامکهای دزدیده شده از ربات، پیامهای فیشینگی که قرار بود از طریق ربات ارسال شود، فهرست شمارههایی که قرار بود ربات به آنها پیام ارسال کند، فهرست رباتها و فهرست تمامی شناسههای دستگاههای هک شده در آن قرار داشت را کشف کردهاند و جالب اینکه تمامی این اطلاعات مهم از طریق (opendir) در دسترس و قابل مشاهده بود.
این اطلاعات نشان میداد که در کمتر از ۱۰ روز، این بدافزار روی دستگاه بیش از هزار قربانی نصب شده و به طور متوسط، روزانه صد قربانی دیگر نیز به آن افزوده میشود. این یعنی کسانی که دستگاه اندروید آنان به این بدافزار آلوده میشود، در ماه دهها هزار تن است.
محققان چکپوینت در خلال تحقیقات خود در خصوص این بدافزار، کمپینهای «جعل هویت» دیگری را کشف کردهاند که نه تنها خدمات دولتی ایران، بلکه سرویسهای تامین اجتماعی، سیستمهای ردیابی تلفنهای سرقت شده، بانکها، سایتهای همسریابی، خرید، صرافیهای ارز دیجیتال و بسیاری از موارد دیگر را نیز شامل میشود.
شرکت چکپوینت در خلال این تحقیق، چند صد برنامه دیگر اندرویدی مربوط به حملههای فیشینگ را کشف کرده که نقطه اشتراک تمامی آنها استفاده از پیامک و سرویس (Firebase Cloud Messaging) گوگل بود. این برنامهها عموما متعلق به سه بسته بدافزاری شناخته شده است.
- بسته موسوم به (com.psiphone3) با بیش از پنجاه برنامه کاربردی که در وبسایت (VirusTotal) آپلود شده و استفاده از آن از اوایل ماه اکتبر سال جاری میلادی آغاز شده است.
- بسته موسوم به (caco333.ca) یکی از قویترین بستههای بدافزاری با بیش از ۲۵۰ برنامه کاربردی. استفاده از برنامههای این بسته از ماه جولای امسال مشاهده شده و شرکت آنتی ویروس ایرانی امنیتپرداز پیشتر گزارشی را درباره آن منتشر کرده است.
- بسته موسوم به (ir.PluTus.pluto) که در اواخر ماه سپتامبر ۲۰۲۱ بهکارگیری آن گزارش شد.
شرکت چکپوینت گفته، تحقیقات نشان میدهد که این بستههای مخرب و باتنتها در اینترنت و کانالهای تلگرامی به قیمت ۲۰ تا صد دلار فروخته شده و این کسب و کار به عنوان یک صنعت در بازار ایران در حال توسعه است. بستههای پیچیدهتری مانند (caco333.ca) که دارای قابلیت (RAT) هستند تا ۱۵۰ دلار نیز فروخته میشوند.
چکپوینت در انتهای گزارش خود، امکان راهندازی طوفان پیامکی، استفاده گسترده از مضامین و موضوعات حساسیتبرانگیز مانند شکایت دستگاه قضایی و امکان سرقت کدهای پویا (2FA) را عامل موفقیت این حمله عنوان کرده و گفته، باتنتهای مخصوص حملات فیشینگ مبتنی بر پیامک، از شماره تلفن دستگاههای آلوده استفاده میکنند و مرتب آدرسهای صفحات فیشینگ خود را تغییر میدهند و این موضوع رصد و مسدودسازی آنها را توسط شرکتهای مخابراتی دشوار میکند. استفاده از «باتنت به عنوان سرویس» (botnet as a service) نیز این دشواری را چند برابر خواهد کرد. در چنین شرایطی مفیدترین اقدام، بالا بردن سطح آگاهی شهروندان نسبت به این قبیل حملهها است.
از بخش پاسخگویی دیدن کنید
در این بخش ایران وایر میتوانید با مسوولان تماس بگیرید و کارزار خود را برای مشکلات مختلف راهاندازی کنید
ثبت نظر