کشف یک کمپین بدافزار موبایل ایرانی
محققان Sophos X-Ops مجموعهای از اپلیکیشنهای هک کارت بانکی را کشف کردند که مشتریان بانکهای ایرانی را هدف قرار میدهند.
پژوهشگران Sophos X-Ops در داخل SophosLabs در طی یک جستجوی پیشگیرانه برای شناسایی بدافزارهای مخرب تلفن همراه، گروهی از چهار برنامه هدفمند از نوع جمعآوری اطلاعات بانکی برای مشتریان چندین بانک ایرانی را کشف کردند. بیشتر برنامهها با استفاده از یک گواهینامه یکسان(احتمالاً دزدیده شده) امضا شدهاند و چندین classe و string مشترک دارند.
برنامه ها بانک های زیر را هدف قرار می دهند:
- بانک ملت
- بانک صادرات
- بانک رسالت
- بانک مرکزی
تمام برنامهها در بازه زمانی بین دسامبر ۲۰۲۲ و مه ۲۰۲۳ برای دانلود در دسترس بودند و اطلاعات ورود به بانک اینترنتی و جزئیات کارت بانکی را جمعآوری میکنند و دارای چندین قابلیت دیگر نیز هستند – از جمله مخفیکردن آیکونهای خود برای حفظ دسترسی و مخفی ماندن در گوشی های تلفن همراه و رهگیری پیامهای ورودی اساماس که برخی از بانکها از آنها به عنوان ورود دو مرحلهای استفاده میکنند. اگرچه انتظار میرفت این دسترسی ها برای بدافزارهای مالی وجود داشته باشد، اما چند نکته جالب در این کمپین وجود داشت که ما را مورد توجه قرار داد – از جمله مکانیزم غیر معمول C2، گواهینامه احتمالاً دزدیدهشده و شاخصهایی از کمپینهای احتمالی آینده.
تجزیه تحلیل بدافزار
در این بخش قصد داریم نحوه ی نصب و عملکرد این برنامه های مخرب را بررسی کنیم.
نصب و عملکرد نرم افزار مخرب
پس از نصب، برنامهها پیامی را برای کاربر نمایش میدهند که از او میخواهد مجوز خواندن پیامهای SMS را بدهد.
شکل ۱: یکی از برنامه های مخرب (بانک ملت) پس از نصب پیامی را به کاربر نمایش می دهد. در این پیام هدف این است که شما برای این برنامه مخرب دسترسی های لازم جهت خواندن پیامک ها را ایجاد کنید.
سپس برنامه استاندارد Android را برای درخواست مجوز نمایش می دهد:
شکل ۲: برنامه مخرب جعل هویت بانک ملت، پیام درخواست مجوز اندروید را نمایش می دهد.
جمع آوری مشخصات ورود و داده های لازم
پس از اینکه کاربر مجوز های لازم را ایجاد کرد، یک صفحه ورود به بانک نمایش داده می شود:
شکل ۳: نمایش صفحه ورود به بانک ملت برای کاربر، که توسط این بدافزار در نظر گرفته شده است و تفاوتی با صفحه اصلی نرم افزار اصلی ندارد.
این صفحه ورود از کاربر شماره تلفن، نام کاربری و رمز عبور را درخواست می کند. سمت چپ ترین لینک، (زیر دکمه قرمز ‘ورود’) کاربر را از طریق کروم به وب سایت قانونی بانک ملت هدایت می کند. بقیه پیوندها – و هر آیتم دیگری غیرفعال هستند و دکمه ها ساختگی هستند که هیچ عملکردی ندارند.
هنگامی که یک کاربر مشخصات خود را وارد می کند، برنامه ها داده ها را به سرور C2 ارسال می کنند و از کاربر تاریخ تولد خود را می خواهند – که همچنین برای مهاجمان ارسال می شود. برای جلوگیری از شناسایی، برنامه ها سپس یک پیغام خطا نشان می دهند که به کاربر اطلاع می دهد که درخواست او ارسال شده است و حساب بانکی او ظرف ۲۴ ساعت فعال می شود. این به هکرها یک فرصت میدهد تا از اطلاعات کارت بانکی دزدیدهشده استفاده کنند یا آنها را بفروشند.
شکل ۴: بخشی از یکی از برنامههای مخرب، که روال ارسال اطلاعات سرقت شده به سرور C2 را نشان میدهد.
شکل ۵: عملکرد برنامه مخرب برای ارسال پیامک و جزئیات کارت بانکی به هکر ها
همانطور که اشاره کردیم، برنامههای مخرب همچنین قابلیت مخفیکردن آیکونهای خود را دارند و اگر توسط سازنده بدافزار، دستور خاصی به آنها داده شود. بصورت مخفی آنها را اجرا میکند.این ترفند متداولی است که طراحی شده تا کاربران را فریب دهد و بطوری که فکر کنند برنامه حذف شده است، در حالی که هنوز در دستگاه آنها اجرا میشود.
شکل ۶: نحوه پنهان کردن نماد برنامه مخرب
نسخه های قانونی این برنامه از کافه بازار و پلیاستور قابل دانلود هستند.و از طرفی نسخه های مخرب این برنامه ها در سایت های زیادی قابل مشاهده هست که دلیل آن هم، بخاطر تقلید سایت ها از همدیگر هست و بدون اینکه یک وبسایتی، امنیت نرم افزاری که دانلود میکند را بررسی کند،آن را دانلود کرده و در سایت خود برای دانلود عموم بارگزاری میکند.و برخی از سایت ها نیز مورد نفوذ قرار گرفته و از آن بعنوان سرور C2 نیز استفاده شده است.وعلاوه بر این، برخی از دامنهها صفحات فیشینگ HTML را نیز ارائه میکنند که برای سرقت اطلاعات از کاربران تلفن همراه طراحی شدهاند.
شکل ۷: یک صفحه فیشینگ HTML از یکی از دامنه های سرویس دهنده برنامه مخرب
مشخص نیست که تولید کنندگان این برنامه های مخرب(هکر) چگونه کاربران را متقاعد کردند تا برنامهها را از این دامنهها دانلود کنند. کمپینهای مشابه بدافزارهای بانکی از روش کلاهبرداری پیامهای اساماس (smishing) استفاده میکنند که حاوی لینک به برنامههای جعلی هستند، اما از آنجایی که هنوز هیچ اطلاعات کافی برای تحقیق و بررسی در اختیار نداریم، نمیتوانیم اطمینان حاصل کنیم که این مورد نیز در اینجا صدق میکند.
با اینکه دامنههایی که برنامهها در آنها میزبانی میشدند اکنون غیرفعال هستند، برخی از دامنههای C2 هنوز فعال هستند. اما در مورد خود مکانیزم C2، این کمپین برای ارسال اطلاعات دزدیدهشده به تولید کنندگان این برنامه های مخرب از دو روش استفاده میکند برنامههای مخرب از پروتکل HTTPS برای ارتباط با سرورهای C2 استفاده میکنند (اگرچه در برخی موارد از HTTP استفاده میشود که باعث میشود اطلاعات کارت بانکی دزدیدهشده موقع ارسال دچار تهدیدات امنیتی قرار گیرند).
شکل ۸: نمونه ای از یک پیامک ساختگی که در حین تست برنامه های مخرب به سرور C2 ارسال می شود.
با این حال برای برخی از اقدامات – مانند مخفی کردن آیکون برنامه یا دریافت پیامهای اساماس – بدافزار از Firebase Cloud Messaging (FCM) استفاده میکند. FCM یک library است که توسط گوگل ساخته شده است و به برنامهها اجازه میدهد از طریق کلود پیامهای کوچک (تا ۴۰۰۰ بایت) ارسال و دریافت کنند. FCM به طور معمول از پورت ۵۲۲۸ استفاده میکند، اما ممکن است از پورتهای ۴۴۳، ۵۲۲۹ و ۵۲۳۰ نیز استفاده کند. استفاده از FCM به عنوان مکانیزم C2 ایدهی جدیدی نیست – در سال ۲۰۲۰، تهدید به نام DoNot از آن سوءاستفاده کرد و در دسامبر ۲۰۲۲، یک کمپین به هدف اطلاعات اعتباری فیسبوک از آن استفاده نمود. این روش باعث میشود تا برنامه های مخرب فعالیتهای C2 خود را در داخل ترافیک اندروید پنهان کند.
در طول تحقیقات ما، مشاهده کردیم که حداقل یکی از سرورهای C2 هک شده،برای مجتمع آموزش علوم اسلامی کوثر هست، در زمان نگارش این پست از وبلاگ بهینه سرور، سرور مجتمع آموزش علوم اسلامی کوثر هنوز به عنوان یک سرور C2 فعال بوده و همچنان چندین فایل PHP را میزبانی میکند که نشان میدهد هکر ها وبسرور این سایت را هک کردهاند تا از آن به عنوان سرور C2 استفاده کنند.
شکل ۹: احتمال هک شدن سرور مجتمع آموزش علوم اسلامی کوثر برای میزبانی کد C2
متأسفانه، ما نتوانستیم هیچ یک از فایل های PHP را بررسی کنیم. با این حال، ما متوجه شدیم که یکی دیگر از سرورهای C2 نیز آدرس: thisisphisher[.]online است و این یک سایت استانداردی نیست و بنابراین ممکن است تولید کنندگان نرم افزار مخرب، این سایت را خودشان ثبت و تنظیم کرده باشند.
شکل ۱۰: صفحه اصلی thisisphisher[.]online
با نگاهی به محتوای دایرکتوری AppRemote_VX مشاهده میکنیم که عاملان تهدید از این دامنه برای میزبانی کد C2 خود استفاده می کنند و همینطور دایرکتوری های دیگر شامل smsFish و AppRemote_V و فایل های بیشتری را می توانیم مشاهده کنیم:
شکل ۱۱: محتوای دایرکتوری thisisphisher[.]online/AppRemote_VX
توجه داشته باشید که این دامنه از وب سرور LiteSpeed نیز استفاده می کند
شکل ۱۲: فایل های مرتبط با تلگرام در یک زیر شاخه، که ممکن است botTel.php که در دایرکتوری اصلی هست از این فایل هابرای C2 استفاده کرده باشد.
جالب اینجاست که در لیست دایرکتوری اصلی یک پوشه ای با عنوان StarOfLife وجود دارد.
شکل ۱۳: محتویات دایرکتوری StarOfLife
طبق تحقیقات ما به نظر میرسد فریمورک StarOfLife با PHP توسط یک توسعهدهنده ایرانی کدنویسی شده، که عاملان تهدید به نوعی از این freamework مکانیسم C2 خود استفاده کردهاند، یا احتمالا قصد دارند در آینده از این فریمورک استفاده کنند:
شکل ۱۴: پروژه StarOfLife در GitHub
گواهی دزدی؟
تعدادی از نمونههایی که ما کشف کردیم، با گواهینامهای (۷c42deb20377f0e18ec4788312a692ee7aed1917) امضا شدهاند که پیشتر توسط یک شرکت مشاوره و توسعه IT با نام ARS Network واقع در مالزی برای امضای برنامههای معتبر در گوگل پلی استفاده شده بود.
شکل ۱۵: شبکه ARS در Google Play
مشخص نیست چگونه عاملان تهدید توانستند گواهینامه را بدست آورند. sophos با این شرکت تماس گرفت، اما تا زمان انتشار این مطلب، هنوز پاسخی دریافت نشده است. اگر پاسخی دریافت کنیم، این مقاله را بهروز خواهیم کرد.
نشانههایی از یک طرح گستردهتر
بعضی از نمونههایی که ما جمعآوری کردیم، یک رفتار عجیب انجام میدهند: آنها دستگاه آلوده شده را برای جستجوی چندین برنامه دیگر مرتبط با بانکداری، پرداخت یا ارزهای رمزنگاری شده بررسی میکنند. لیست برنامهها به صورت هاردکد شده در بدافزار وجود دارد.
شکل ۱۶: یک بخش از کدهایی که به دنبال برنامههای دیگر مرتبط با امور مالی میگردد.
این برنامه ها عبارتند از:
|
|
|
بعد از کامل شدن جستجو، بدافزار نتایج را به سرور C2 ارسال میکند، اما هیچ اقدامی انجام نمیدهد و فکر میکنیم که این کمپین ممکن است در آینده متفاوت باشد و نسخههای جدیدتری از این بدافزار ممکن است تولید شود و برنامه های دیگری را هدفگیری کرده باشند.
نتیجه
با اینکه برنامههای مخربی که کشف کردیم از نظر قابلیتهایی که دارد بسیار شگفتآور نیستند و برخی از ایدههای خود را از بدافزارهای بانکی مشابهی میگیرند.(مانند رهگیری پیامهای اساماس و مخفیکردن آیکونها)اما چندین نکته توجهبرانگیز وجود دارد. این برنامهها که در این مقاله به آنها اشاره کردیم، به مشتریان چندین بانک ایرانی حمله میکنند. و لیستهای اضافی از برنامههای بانکی و رمزنگاری شده که به صورت هاردکد شده در بدافزار وجود دارند، نشان میدهد که این کمپین میتواند یک کمپین در حال تکامل باشد که ممکن است در آینده گسترده تر حمله کند.
استفاده از Firebase به عنوان مکانیزم C2 نسبتاً کمی رایج است، اما عاملان تهدید از دامنههای معتبر به عنوان C2 سرورها استفاده میکنندو از گواهینامهها برای امضاء برنامههای مخرب سوءاستفاده میکنند که برای آنها مزایایی ایجاد میکند.
در زمان نگارش این مقاله، این کمپین به اتمام میرسد، بهویژه با ساسپند بسیاری از دامنههای C2 و میزبانی. با این حال، برخی از رفتارها و ویژگیهایی که در اینجا بررسی کردهایم، نشاندهندهی تهدیدات گسترده تری در آینده هست. و ما مراقب فعالیت های مرتبط با این نوع تهدید در آینده خواهیم بود و به آنها نظارت خواهیم داشت.کاربران اندروید باید از نصب برنامهها از لینکهایی که در ایمیلها، پیامهای متنی یا هر ارتباطی که از منابع غیرقابل اعتماد دریافت میشود، اجتناب کنند ، و از نرمافزارهای تشخیص تهدیدهای موبایلی مانند Sophos Intercept X برای موبایل استفاده کنند.
لیست برنامهها، دامنههای میزبانی و دامنههای C2 که در طول این تحقیق کشف کردیم در مخزن GitHub ما قابل مشاهده است.
منبع : SophosNews