ثبت بازخورد

لطفا میزان رضایت خود را از دیجیاتو انتخاب کنید.

واقعا راضی‌ام
اصلا راضی نیستم
چطور میتوانیم تجربه بهتری برای شما بسازیم؟

نظر شما با موفقیت ثبت شد.

از اینکه ما را در توسعه بهتر و هدفمند‌تر دیجیاتو همراهی می‌کنید
از شما سپاسگزاریم.

هک
امنیت

شرکت امنیتی Sophos: هکرها با اپ‌های جعلی، مشتریان بانک‌های ایرانی را هدف قرار داده بودند

شرکت امنیت سایبری سوفوس‌لبز می‌گوید مشتریان چهار بانک ایرانی در یک حمله سایبری گسترده هدف حمله هکرها قرار داشته‌اند.

ایمان صاحبی
نوشته شده توسط ایمان صاحبی | ۷ مرداد ۱۴۰۲ | ۱۹:۰۰

محققان امنیت سایبری شرکت SophosLabs چهار اپلیکیشن حاوی بدافزار را کشف کرده‌اند که خود را به‌جای چهار بانک ایرانی ملت، صادرات، رسالت و مرکزی جا زده و ماه‌ها به گردآوری اطلاعات حساس کاربران و سوءاستفاده از آن‌ها مشغول بوده‌اند.

براساس گزارشی که در وب‌سایت «سوفوس» منتشر شده است، چهار اپلیکیشن جعلی که از گواهی مسروقه اپ‌های اندرویدی استفاده می‌کردند، در حد فاصل ماه دسامبر 2022 (آذر-دی 1401) تا مه 2023 (اردیبهشت-خرداد 1402) مشتریان این بانک‌ها را هدف قرار داده بودند.

این اپلیکیشن‌ها ظاهراً اطلاعات احراز هویت مشتریان بانک‌ها و اطلاعات کارت‌های بانکی افراد را سرقت کرده‌اند. این بدافزارها قادر بودند اطلاعات پیامک‌ها را بخوانند و آیکن خود را مخفی کنند.

محققان سوفوس‌لبز می‌گویند این اپ‌های جعلی پس از نصب، پیامی را به کاربر نشان داده و درخواست دسترسی به پیامک‌ها را می‌کردند. پس از دریافت مجوز، صفحه ورود به همراه بانک را به نمایش می‌گذاشتند. زمانی که کاربر اطلاعات خود را وارد می‌کرد، داده‌ها به یک سرور فرمان و کنترل (C2) ارسال و تاریخ تولد کاربر از او پرسیده می‌شد.

سپس پیام خطایی روی صفحه ظاهر می‌شد که می‌گفت درخواست ورود او ارسال شده است و برای فعال‌سازی حساب خود باید 24 ساعت منتظر بماند. درنتیجه مهاجمان فرصت داشتند از این داده‌ها سوءاستفاده کنند یا آن‌ها را بفروشند.

سوفوس‌لبز می‌گوید این اپ‌های جعلی روی دامنه‌هایی نسبتاً جدید برای دانلود بارگذاری شده بودند که از بعضی از آن‌ها به‌عنوان سرور C2 هم استفاده می‌شد. برخی از همین دامنه‌ها برای فیشینگ نیز به‌کار گرفته می‌شدند. بااین‌حال، مشخص نیست که مهاجمان چگونه کاربران را مجاب می‌کردند تا از این سایت‌ها اپ‌های بانکی جعلی را دانلود کنند.

اگرچه این سایت‌ها اکنون از کار افتاده‌اند، اما برخی از سرورهای C2 آن‌ها همچنان فعالند. سوفوس‌لبز توضیح می‌دهد که حداقل یکی از این سرورها احتمالاً وب‌سرور دانشگاه کوثر بوده است که مهاجمان آن را تحت کنترل خود درآورده بودند و ظاهراً هنوز بخشی از کد بک‌اند سرور C2 آن‌ها به‌صورت فایل‌های PHP در آنجا قرار دارد.

بررسی‌های این شرکت همچنین نشان می‌دهد که هکرها در گوشی قربانی به‌دنبال چند اپلیکیشن بانکی و مالی دیگر مثل اپ‌های بانک ملی، بانک سپه، بانک پاسارگاد، بانک تجارت، بانک رفاه، بلوبانک، تترلند، نوبیتکس، کوینکس، بیت‌پین و دیجی‌پی هم می‌گشتند. در پایان جستجو، نتیجه کار به سرور C2 ارسال می‌شد، اما اتفاق بیشتری رخ نمی‌داد. درنتیجه این احتمال مطرح است که در آینده حملات بیشتری در راه باشد.

پیگیری‌های دیجیاتو از بانک مرکزی برای واکنش به گزارش شرکت امنیت سایبری Sophos تا به این لحظه نتیجه‌ای در بر نداشته است.

ایمان صاحبی

علاقه من به فناوری به دوره نوجوانی برمی‌گرده اما از حدود سال ۹۴ کار جسته گریخته توی این فضا رو شروع کردم و از ۹۷ به‌طور جدی‌تر وارد این کار شدم. فناوری مخصوصاً بخشی که روی لبه حرکت می‌کنه، جذاب‌ترین قسمت این حوزه برام محسوب می‌شه، اما به مرور فهمیدم که همه حوزه‌ها حتی نقاط تلاقی علم و فناوری می‌تونن خیلی جذاب باشن. در کنار این‌ها دنیای فیلم، سریال و بازی‌های ویدیویی رو هم خیلی دوست دارم.

دیدگاه‌ها و نظرات خود را بنویسید
مطالب پیشنهادی