در سالهای اخیر، ایران پیوسته در فهرست کشورهایی که بیشترین آلودگی به بدافزار را دارند، قرار گرفته است. این آمار نگرانکننده آسیبپذیریهایی را که مردم ایران با آنها مواجهاند، نشان میدهد. یکی از دلایل اصلی این مشکل، مسدودسازی دسترسی به فروشگاههای امن دانلود و موضع خصمانه حکومت ایران در قبال اینترنت آزاد است. این رویکرد حکومتی گوشیهای همراه ایرانیان را به بستری مناسب برای تکثیر بدافزار تبدیل کرده است.
در آخرین مورد کشفشده، یک کارزار پیچیده بدافزار بانکداری تلفن همراه به طور خاص کاربران ایرانی را به شکلی گسترده هدف قرار داد.
موسسه امنیتی زیمپریوم که فعالیت آن بر امنیت تلفنهای همراه متمرکز است، طی گزارشی در ژوییه ۲۰۲۳، یک کارزار متشکل از تروجانهای بانکی متمرکز بر تلفنهای اندرویدی را کشف کرد که کاربران ایرانی را هدف قرار میدادند. تیم تحقیقاتی زیمپریوم اخیرا دریافت که فعالیتهای این کارزار نهتنها متوقف نشده، بلکه قابلیتهای آن گسترش یافته است.
روش فعالیت این کارزار بدافزارهای بانکی به چه صورت است؟
در تحقیقات قبلی، ۴۰ اپلیکیشن جعلی بانک ملت، بانک صادرات، بانک رسالت و بانک مرکزی کشف شدند که از دسامبر ۲۰۲۲ تا مه ۲۰۲۳ فعال بودند و امکان سرقت اطلاعات ورود به سامانه بانکی، سرقت اطلاعات کارت بانکی، پنهان کردن برنامه به منظور جلوگیری از حذف و رهگیری کدهای پویا و دسترسی به پیامک را فراهم میکردند. این اپلیکیشنها از نسخههای قانونی موجود در کافه بازار تقلید میکردند و از طریق چندین وبسایت فیشینگ که برخی از آنها به عنوان سرورهای فرمان و کنترل عمل میکردند، توزیع میشدند.
سرورهای فرمان و کنترل (C&C) سرورهای متمرکزیاند که مهاجمان از آنها برای کنترل از راه دور دستگاههای آلوده به بدافزار استفاده میکنند. این سرورها دستورهایی را به دستگاههای در معرض خطر ارسال و دادههای سرقتشده را از آنها دریافت میکنند.
اکنون تیم تحقیقاتی زیمپریوم ۲۴۵ برنامه مخرب دیگر را کشف کرده که در مطالعات قبلی ذکر نشده بودند. این برنامهها با همان گروهی که مسئول حملات قبلی بودند، مرتبطند. این بدافزارهای جدید نسبت به قبل، بانکهای بیشتری را هدف قرار میدهند و برای جلوگیری از شناسایی شدن و موثرتر کردن حملات، روشهای جدیدی دارند.
این نسخههای بدافزار در حال گسترش اهدافشاناند. آنها ابتدا بر بانکهای خاصی تمرکز داشتند، اما اکنون اهدافشان گسترش پیدا کردهاند. علاوه بر تمرکز این بدافزارها بر بانکهای بیشتر، شواهد نشان میدهد که افراد پشت حملات در حال جمعآوری اطلاعات چندین برنامه کیف پول ارزهای دیجیتالاند و به احتمال زیاد، کیف پولهای دیجیتال در آینده نزدیک هدف قرار خواهند گرفت. جدول زیر فهرست کامل برنامههای هدف این کارزار را نشان میدهد.
بدافزارهای بانکی چگونه از مجوزهای دستگاه سوءاستفاده میکنند؟
این بدافزارها از ویژگیهای دسترسپذیری در دستگاه برای قرار دادن یک صفحه جعلی روی برنامههای بانکی قانونی استفاده میکنند. به این شکل که بدافزار یک صفحه جعلی مشابه صفحه ورود به سیستم اپلیکیشن یک بانک ایجاد میکند و با استفاده از خدمات دسترسی که برای کمک به کاربران دارای معلولیت طراحی شدهاند، این صفحه جعلی را بالای برنامه واقعی بانک قرار میدهد. وقتی کاربران اطلاعات کاربری و جزئیات کارت اعتباریشان را در اپلیکیشن بانکشان وارد میکنند، در واقع این اطلاعات را در صفحه همپوشانی جعلی وارد میکنند. سپس بدافزار این اطلاعات را جمع آوری و به مهاجمان ارسال میکند.
Read More
This section contains relevant reference points, placed in (Inner related node field)
این بدافزار همچنین از مخزن گیتهاب برای اشتراکگذاری جدیدترین آدرسهای فیشینگ و سرور کنترل استفاده میکند تا در صورت حذف سایتهای فیشینگ، آنها را بهسرعت بهروزرسانی کند و از سرورهای فرمان و کنترل موقت برای توزیع پیوندهای فیشینگ فعال استفاده میکند تا از حذف سرور جلوگیری شود.
میزان سفارشیسازی این بدافزارها و تمرکز آنها بر آسیبپذیریهای دستگاههای مختلف نشانگر توسعه و پیشرفت این کارزار است.
این بدافزارها به اعطای مجوز دسترسی نیاز اساسی دارند و برای غلبه بر مانع قبول نشدن مجوز و ندادن دسترسی از سمت کاربر، به طور خاص دستگاههای شیائومی و سامسونگ را هدف قرار میدهند؛ زیرا مجوزهای این دستگاهها را راحتتر میتوان به دست آورد. در این حملات، هنگامی که دستگاه متعلق به شیائومی یا سامسونگ تشخیص داده شود، اقدامهای خاصی مانند اعطای خودکار مجوزهای دسترسی به پیامک، جلوگیری از حذف بدافزار و کلیکهای خودکار روی عناصر رابط کاربری انجام میشود. این اقدامها بدافزار را قادر میکند فعالیتهای مخرب را با کارایی بیشتری در این دستگاههای خاص انجام دهد.
این نوع حملات نشان میدهد مهاجمان رویکردشان را برای سوءاستفاده از آسیبپذیریها یا ویژگیهای خاص در نرمافزار این دستگاهها تنظیم کردهاند. این سطح سفارشیسازی در بدافزارها شناسایی آنها را خطرناکتر و سختتر میکند. همچنین نشاندهنده گسترش تهدیدهای امنیت سایبری است که در آن مهاجمان برای هدف قرار دادن گروهها یا فناوریهای خاص، ابزارها و روشهای تخصصی را توسعه میدهند.
حکومت ایران برای مجرمان سایبری فرش قرمز پهن میکند!
در حالی که مردم ایران با بحران گسترده افزایش بدافزارها دستوپنجه نرم میکنند، حکومت بیشتر بر سرکوب افرادی متمرکز شده است که هدفشان مبارزه با این تهدید دیجیتال است و هدف برجسته دولت به جای تدوین استراتژیهایی برای مبارزه با تهدیدهای سایبری، دستگیری فعالان و کارشناسانی است که تمرکزشان ایجاد امنیت و آرامش دیجیتال است؛ به عبارت دیگر، حکومت ایران در حال پهن کردن فرش قرمز برای مجرمان سایبری است و کسانی را که سعی در محافظت از مرزهای دیجیتال دارند، سرکوب میکند.
در سالهای گذشته، پروژهای مستقل با هدف رصد و مبارزه با بدافزارها فعالیت میکرد که بعد از مدتی به دستور مراجع قضایی ایران مسدود شد و در سال گذشته چند نفر از افراد فعال در این پروژه دستگیر شدند. پس از انتشار گزارش موسسه امنیتی زیمپریوم، یکی از فعالان سابق پروژه مقابله با بدافزارها با ذکر این موضوع که وضعیت بدافزارها در ایران شدیدتر و پیچیدهتر از قبل شده است، گفت که طبق شواهد، هکرها داخل ایراناند.
این سناریو تصویری تلخ از چشمانداز امنیت سایبری در ایران ترسیم میکند؛ جایی که انفعال حکومت موضوع حیاتی گسترش بدافزار و ناامنی دیجیتال را تشدید میکند.
