بلاگ

سرقت‌های میلیونی از شهروندان ایرانی با ارسال پیامک چه‌طور صورت گرفت؟

۱۳ آذر ۱۴۰۰
امنیت دیجیتال با احمد باطبی
خواندن در ۸ دقیقه
سرقت‌های میلیونی از شهروندان ایرانی با ارسال پیامک چه‌طور صورت گرفت؟

شرکت امنیت سایبری «چک‌پونیت» چهارشنبه دهم آذرماه، گزارشی تخصصی از تحقیقات خود در خصوص سرقت میلیارد‌ها ریال از دارایی‌های شهروندان ایرانی را با استفاده از پیامک‌های جعلی منتشر کرد. 

تحقیقات این شرکت آمریکایی-اسراییلی نشان داده که بازیگران پشت پرده این پیامک‌های جعلی، با جعل عنوان سازمان‌های دولتی، ده‌ها هزار شهروند ایرانی را هدف قرار داده و بدافزاری را بر روی دستگاه‌های اندرویدی آن‌ها نصب کرده‌اند که قادر است، اطلاعات حساسی همچون کارت‌های بانکی و حتی کدهای احراز هویت دو مرحله‌ای قربانیان را به سرقت ببرد.

«ساموئل کوهن» (Shmuel Cohen) محقق شرکت چک‌پوینت و نویسنده این گزارش فنی-تحلیلی، با اشاره به سطح پایین حفاظت از داده‌های شهروندان ایرانی (OPSEC) و رشد روز افزون توان‌مندی و امکانات هکرها نوشته، داستان از این قرار است که در ماه‌های اخیر، پیامک‌هایی حاوی یک لینک آلوده در سطح وسیع به شهروندان ایرانی ارسال شده که از آن‌ها جزییات کارت اعتباری‌شان را طلب می‌کرد و اگر چنین اطلاعاتی از سوی شهروندان ارائه‌ می‌شد، در زمانی کوتاه تمام دارایی‌های آن‌ها به سرقت می‌رفت.

اما برخلاف روش‌های پیشین، مانند تروجان (Flubot) که از طریق تزریق کد اقدام به سرقت اطلاعات قربانی می‌کنند، این حمله‌های پیامکی به دریافت اطلاعات بانکی از سوی قربانی متکی است. هکرها با پرداخت مبلغ اندک، انبوهی از پیامک‌های به ظاهر قانونی و متعلق به سازمان‌های دولتی را به شهروندان ارسال و به همراه آن یک بدافزار ارسال می‌کند که قادر است، علاوه بر جمع‌آوری شماره‌ کارت‌های بانکی، پیامک حاوی کد احراز هویت دو مرحله‌ای قربانیان (2FA) را نیز به سرقت ببرد. ارسال‌کنندگان پیامک‌های جعلی با همین روش تاکنون به طور میانگین، مبلغی بین هزار تا دو هزار دلار از قربانیان خود به سرقت برده‌اند.

زنجیره آلوده‌سازی تلفن‌های شهروندان ایرانی از طریق پیامک

این سرقت گسترده پیامکی نوعی حمله «فیشینگ» یا فریب قربانی است. پیامک‌های جعلی ارسالی حاوی متنی است که به گیرنده در خصوص طرح یک شکایت قضایی علیه او هشدار داده و از او می‌خواهد که برای دریافت اطلاعات بیشتر، بر روی لینک انتهای پیامک کلیک کند. محتوای حساس که در نگاه اول کمتر قربانی به صحت آن توجه می‌کند. با کلیک بر روی این لینک، قربانی به یک وبسایت جعلی، مشابه وبسایت قوه قضاییه هدایت می‌شود که در آن گفته شده، به دلیل محدودیت‌های کرونایی و عدم امکان مراجعه به شعبات قضایی باید اطلاعات همچون تلفن و کد ملی خود را وارد کند. در این مرحله، به صورت خودکار یک بدافزار نسخه اندروید، با فرمت (apk) بر روی دستگاه قربانی بارگیری می‌شود که زمینه را برای سرقت اطلاعات محرمانه او فراهم می‌کند. صفحه جدید گشوده شده، نسخه جعلی است از سرویس احراز هویت سانا (سامانه اطلاع‌رسانی الکترونیکی قضایی ایران) که ضمن درخواست درج تلفن و شماره ملی قربانی، از او می‌خواهد که بین بیست تا ۵۰ هزار ریال برای مشاهده نتیجه پرداخت کند. مبلغی که به دلیل ناچیز بودن آن، مشروع به نظر آمده و چندان حساسیتی از قربانی بر نمی‌انگیزد. مرحله آخر صفحه جعلی دیگری مشابه درگاه بانکی است که قربانی باید مشخصات کارت بانکی خود را وارد کند. در صورت درج این اطلاعات، پیام خطایی نمایش داده شده و به قربانی اطلاع داده می‌شود که فرایند با خطا مواجه و پرداخت او ناموفق مانده است. در این مرحله قربانی ممکن است تلاش خود را برای ادامه کار متوقف کند، اما اطلاعات بانکی او در اختیار هکرها بوده و آن‌ها قادر هستند که با استفاده از بدافزاری که روی تلفن همراه او نصب کرده‌اند، هر زمان که مایل باشند با تکنیک «درب پشتی» (Backdoor) به پیامک احراز هویت دو مرحله‌ای دسترسی داشته و از آن برای نفوذ به حساب بانکی او استفاده کنند. 

قابلیت‌های بدافزاری که هکرهای بر روی دستگاه‌های اندروید نصب کرده‌اند، عبارت است از:

  • سرقت پیامک‌های قربانی و انتقال آن به سرور هکرها
  • توانایی بالا در مخفی شدن و ماندگاری در دستگاه قربانی
  • دور زدن احراز هویت دو مرحله‌ای قربانیان (2FA)
  • قابلیت‌‌های بالا در حوزه بات‌نت، ازجمله امکان برقرار ارتباط با سرور فرمان و کنترل هکرها، با استفاده از سرویس ابری پیامک فایربیس (Firebase Cloud Messaging)
  • توانایی کرم‌پذیری (Wormability)، ازجمله ارسال پیامک به دفترچه تلفن قربانی که یک نسخه از آن در سرور هکرها ذخیره شده است.

این بدافزار با استفاده از (Basic for Android (b4a)) ساخته شده که به عنوان یک پروژه متن‌باز از سوی (Anywhere Software) برای توسعه نسخه‌های بومی اندروید ارائه می‌شود. فعالیت مخرب بدافزار نیازمند صدور برخی مجوزها از سوی کاربر، مانند دسترسی به پیامک و اینترنت است. در حوزه‌های دیگر نیز بدافزار نیازمند مجوزهایی است که مجوزهای خاص سرویس (Google Firebase) از آن جمله هستند.

بد افزار در آغاز کار، چهار مجوز دریافت پیامک، خواندن، ارسال و همچنین مشاهده محتوای آن را از دستگاه قربانی دریافت کرده و تابعی به‌نام (mutex) ایجاد می‌کند تا وجود و یا عدم وجود فایل (set.txt) را بررسی کند. در صورت عدم وجود، این فایل توسط بدافزار ایجاد شده و دستگاه قربانی از طریق فایلی به‌نام «port» در مسیر (/assets/port.txt) به آدرس سرور هکرها (https://hardcoded_panel_domain/ + port + /panel.php.) متصل می‌شود. در سرور هکرها پرونده‌ای با شناسه‌ای اختصاصی برای دستگاه قربانی ایجاد شده و یک نسخه از تمام پیامک‌های او در فایلی به‌نام (sms.txt) گردآوری به سرور منتقل می‌شود. 

در مرحله بعدی، کار حمله فیشینگ آغاز شده و طرح‌بندی‌های جریان از فایل (mon) در مسیر (assets/mon.bal) و آدرس صفحات جعلی از فایل (url) در مسیر (assets/url.txt) بارگیری می‌شود. سپس شناسه اختصاصی دستگاه قربانی به آدرس صفحه جعلی ارسال می‌شود تا در صورت درج اطلاعات کارت بانکی توسط قربانی، این اطلاعات با کد‌های (PHP) به سرور هکرها منتقل و در پرونده مخصوص او خیره شود. 

بدافزار علاوه بر بازیابی پیامک‌های قربانی و ارسال آن به هکرها، پیامک احراز هویت دو مرحله‌ای قربانیان را نیز رصد کرده و از همین طریق آن را به سرور هکرها ارسال می‌کند. در نسخه توسعه‌یافته این بدافزار، امکانی به‌نام (isbank) وجود دارد که می‌تواند مشخص کند که پیامک احراز هویت دومرحله‌ای از چه بانکی ارسال شده است. علاوه براین، استفاده این بدافزار از سرویس پیام‌رسان موضوعی (FCM)، این امکان را فراهم می‌کند که بدافزار براساس «پورت‌ها» به دستگاه‌هایی که موضوع خاصی را انتخاب کرده‌اند، به صورت اختصاصی پیامک ارسال کند. 

همچنین بدافزار قادر است با ایجاد فایلی به‌نام (Message.oliver) مربوط به محتوای ارسالی و فایل دیگری به‌نام (Numbers.oliver) مربوط به تعداد در سرور هکرها، از طریق دستگاه آلوده قربانی به افرادی دیگری که به صورت بالقوه امکان هک شدن دارند، پیامک ارسال کند. 

هکرها معمولا زیرساخت‌های صفحات فیشینگ خود را با دامنه‌های مجانی مانند (gq)، (xyz)، (cf)، (ml) و (tk) راه‌اندازی می‌کنند. کدهای صفحه‌های جعلی نیز از چند کانال تلگرام و یک حساب کاربری در مخزن «گیت‌هاپ» (Github) تهیه شده است. این صفحه‌ها حاوی کد‌هایی به زبان (PHP) است که امکان مدیریت و ارسال اطلاعات دریافت شده از قربانی را به ربات‌های تلگرامی فراهم می‌کند.

تحقیقات نشان داده که دامنه‌های مرتبط با هکرها در بدافزار کدگذاری شده و در برخی موارد آدرس آی‌پی آن (45.153.241[.]194 ) با دامنه‌های صفحات فیشینگ به اشتراک گذاشته شده که این خود نشانگر آن است که مجموعه این زیرساخت‌ها متعلق به یک بازیگر است. 

محققان شرکت چک‌پوینت، تنها در دامنه (oliverdnssop[.]cf) متعلق به هکرها، ده کمپین مختلف از این حمله کشف کرده‌اند که اطلاعات مختلفی از جمله فهرست تمام پیامک‌های دزدیده شده از قربانیان، فهرست تمام پیامک‌های دزدیده شده از ربات، پیام‌های فیشینگی که قرار بود از طریق ربات ارسال شود، فهرست شماره‌هایی که قرار بود ربات به آنها پیام ارسال کند، فهرست ربات‌ها و فهرست تمامی شناسه‌های دستگاه‌های هک شده در آن قرار داشت را کشف کرده‌اند و جالب اینکه تمامی این اطلاعات مهم از طریق (opendir) در دسترس و قابل مشاهده بود. 

این اطلاعات نشان می‌داد که در کمتر از ۱۰ روز، این بدافزار روی دستگاه بیش از هزار قربانی نصب شده و به طور متوسط، روزانه صد قربانی دیگر نیز به آن افزوده می‌شود. این یعنی کسانی که دستگاه اندروید آنان به این بدافزار آلوده می‌شود، در ماه ده‌ها هزار تن است. 

محققان چک‌پوینت در خلال تحقیقات خود در خصوص این بدافزار، کمپین‌های «جعل هویت» دیگری را کشف کرده‌اند که نه تنها خدمات دولتی ایران، بلکه سرویس‌های تامین اجتماعی، سیستم‌های ردیابی تلفن‌های سرقت شده، بانک‌ها، سایت‌های همسریابی، خرید، صرافی‌های ارز دیجیتال و بسیاری از موارد دیگر را نیز شامل می‌شود.

شرکت چک‌پوینت در خلال این تحقیق، چند صد برنامه دیگر اندرویدی مربوط به حمله‌های فیشینگ را کشف کرده که نقطه اشتراک تمامی آن‌ها استفاده از پیامک و سرویس (Firebase Cloud Messaging) گوگل بود. این برنامه‌ها عموما متعلق به سه بسته بدافزاری شناخته شده است. 

  • بسته موسوم به (com.psiphone3) با بیش از پنجاه برنامه کاربردی که در وبسایت (VirusTotal) آپلود شده و استفاده از آن از اوایل ماه اکتبر سال جاری میلادی آغاز شده است. 
  • بسته موسوم به (caco333.ca) یکی از قوی‌ترین بسته‌های بدافزاری با بیش از ۲۵۰ برنامه کاربردی. استفاده از برنامه‌های این بسته از ماه جولای امسال مشاهده شده و شرکت آنتی ویروس ایرانی امنیت‌پرداز پیشتر گزارشی را درباره آن منتشر کرده‌ است.
  • بسته موسوم به (ir.PluTus.pluto) که در اواخر ماه سپتامبر ۲۰۲۱ به‌کارگیری آن گزارش شد.

شرکت چک‌پوینت گفته، تحقیقات نشان می‌دهد که این بسته‌های مخرب و بات‌نت‌ها در اینترنت و کانال‌های تلگرامی به قیمت ۲۰ تا صد دلار فروخته شده و این کسب و کار به عنوان یک صنعت در بازار ایران در حال توسعه است. بسته‌های پیچیده‌تری مانند (caco333.ca) که دارای قابلیت (RAT) هستند تا ۱۵۰ دلار نیز فروخته می‌شوند.

چک‌پوینت در انتهای گزارش خود، امکان راه‌ندازی طوفان پیامکی، استفاده گسترده از مضامین و موضوعات حساسیت‌برانگیز مانند شکایت دستگاه قضایی و امکان سرقت کدهای پویا (2FA) را عامل موفقیت این حمله عنوان کرده و گفته، بات‌نت‌های مخصوص حملات فیشینگ مبتنی بر پیامک، از شماره تلفن دستگاه‌های آلوده استفاده می‌کنند و مرتب آدرس‌های صفحات فیشینگ خود را تغییر می‌دهند و این موضوع رصد و مسدودسازی آن‌ها را توسط شرکت‌های مخابراتی دشوار می‌کند. استفاده از «بات‌نت به عنوان سرویس» (botnet as a service) نیز این دشواری را چند برابر خواهد کرد. در چنین شرایطی مفیدترین اقدام، بالا بردن سطح آگاهی شهروندان نسبت به این قبیل حمله‌ها است. 

ثبت نظر

استان‌وایر

معاون رییس جمهور: اگر در وین توافق نشد، به سمت شرق می‌رویم

۱۳ آذر ۱۴۰۰
خواندن در ۱ دقیقه
معاون رییس جمهور: اگر در وین توافق نشد، به سمت شرق می‌رویم