أكثر من 200 تطبيق Android ضار يستهدف البنوك الإيرانية. كشفت تقارير جديدة عن حملة برامج ضارة تستهدف Android تركز على البنوك الإيرانية، حيث قامت بتوسيع قدراتها ودمجت أساليب التهرب الإضافية للبقاء تحت الرادار.
وفقًا لتقرير جديد من Zimperium، اكتشفت الشركة أكثر من 200 تطبيق ضار مرتبط بالعملية الخبيثة، حيث لوحظ أيضًا أن الجهة الفاعلة تهدد بتنفيذ هجمات تصيد احتيالي ضد المؤسسات المالية المستهدفة.
ظهرت الحملة لأول مرة في أواخر يوليو 2023 عندما كشفت شركة Sophos عن مجموعة من 40 تطبيقًا لحصد بيانات الاعتماد تستهدف عملاء Bank Mellat و Bank Saderat و Resalat Bank والبنك المركزي الإيراني.
والهدف الأساسي من التطبيقات الوهمية هو خداع الضحايا لمنحهم أذونات واسعة بالإضافة إلى حصاد بيانات تسجيل الدخول المصرفية وتفاصيل بطاقات الائتمان من خلال إساءة استخدام خدمات إمكانية الوصول إلى Android.
باحث شركة Sophos.
وقال بانكاج كوهلي. الباحث في شركة Sophos. في ذلك الوقت: “تتوفر الإصدارات الشرعية المقابلة للتطبيقات الضارة في Cafe Bazaar. السوق الإيراني لتطبيقات Android، ولديها ملايين التنزيلات”.
من ناحية أخرى. كانت التقليدات الضارة متاحة للتنزيل من عدد كبير من النطاقات الجديدة نسبيًا. والتي استخدمها الجهات الفاعلة في التهديد أيضًا كخوادم C2.
ومن المثير للاهتمام أن بعض هذه النطاقات قد لوحظ أيضًا أنها تخدم صفحات تصيد احتيالي بتنسيق HTML مصممة لسرقة بيانات الاعتماد من مستخدمي الأجهزة المحمولة.
وتوضح أحدث النتائج من Zimperium التطور المستمر للتهديد. ليس فقط من حيث مجموعة أوسع من البنوك المستهدفة وتطبيقات محافظ العملات المشفرة. ولكن أيضًا دمج ميزات لم يتم توثيقها سابقًا تجعلها أكثر فعالية.
يشمل ذلك استخدام خدمة إمكانية الوصول لمنحه أذونات إضافية لاعتراض رسائل SMS ومنع إلغاء التثبيت والنقر على عناصر واجهة المستخدم.
مستودعات GitHub.
وُجد أيضًا أن بعض أصناف البرامج الضارة تقوم بالوصول إلى ملف README داخل مستودعات GitHub لاستخراج إصدار مشفر Base64 من خادم الأمر والتحكم (C2) وعناوين URL للتصيد الاحتيالي.
وقال الباحثون في Zimperium Aazim Yaswant و Vishnu Pratapagiri: “يسمح ذلك للمهاجمين بالاستجابة بسرعة لمواقع التصيد الاحتيالي التي يتم إغلاقها عن طريق تحديث مستودع GitHub. مما يضمن أن التطبيقات الضارة تحصل دائمًا على أحدث موقع تصيد احتيالي نشط”.
تكتيك جدير بالذكر آخر هو استخدام خوادم C2 الوسيطة لاستضافة ملفات نصية تحتوي على السلاسل المشفرة التي تشير إلى مواقع التصيد الاحتيالي.
في حين أن الحملة ركزت حتى الآن على نظام التشغيل Android. هناك دليل على أن نظام التشغيل iOS من Apple هو أيضًا هدف محتمل بناءً على حقيقة أن مواقع التصيد الاحتيالي تتحقق مما إذا تم فتح الصفحة بواسطة جهاز iOS. وإذا كان الأمر كذلك، توجه الضحية إلى موقع ويب يقلد نسخة iOS من تطبيق Bank Saderat Iran.
في الوقت الحالي. ليس من الواضح ما إذا كانت حملة iOS في مراحل التطوير. أو ما إذا تم توزيع التطبيقات من خلال مصدر لم يتم تحديده حتى الآن. من ناحية أخرى. وُجد أن حملة Android تستهدف بشكل خاص أجهزة Samsung و Xiaomi.
حملات التصيد الاحتيالي ليست أقل تطورًا. حيث تنتحل هوية مواقع الويب الفعلية لاستخراج بيانات الاعتماد وأرقام الحسابات ونماذج الأجهزة وعناوين IP إلى قناتين Telegram تسيطر عليهما الجهة الفاعلة.
وقال الباحثون: “من الواضح أن البرامج الضارة الحديثة أصبحت أكثر تطورًا. وتتوسع الأهداف. لذلك تعد الرؤية والحماية في وقت التشغيل أمرًا ضروريًا لتطبيقات الأجهزة المحمولة”.
حذرت شركة Zimperium من أن الحملة الخبيثة تمثل تهديدًا خطيرًا لمستخدمي الأجهزة المحمولة في إيران. حيث يمكن أن تؤدي إلى سرقة بياناتهم المالية الحساسة.
أكثر من 200 تطبيق Android ضار يستهدف البنوك الإيرانية. تابعً على Facebook او Instagram او YouTube او X لقراءة المزيد من المحتوى الحصري الذي ننشره.