در قسمت اول مطلب بررسی حملات گسترده باتنتهای Smishing در ایران به معرفی کمپینهای بدافزاری پرداختیم که با استفاده جعلی از اسامی سامانه ثنا، اطلاعات کارت بانکی قربانیان را دریافت کرده و از حساب آنها پول برداشت میکردند. در قسمت دوم به تجزیه و تحلیل فنی این کمپینها پرداختیم.
دادههای افشاشدهی قربانی
نه تنها عاملان مخرب دادهها و پول را از قربانیان به سرقت میبرند، بلکه عدم OPSEC کلی آنها باعث میشود که دادههای SMS که به سرقت رفتهاند به بیرون درز کرده و در پنلهای سایر مهاجمین قابلدسترسی باشند. بیش از ده کمپین مختلف به یکی از پنلها به نام oliverdnssop[.]cf گزارش میدادند. یک Opendir که ساختار فایلها و پوشههای یک کمپین بهخصوص را در معرض دید قرار دهد، میتواند با دسترسی مستقیم به URLهای کمپینهای دیگر (حتی کمپینهایی که مستقیماً توسط Opendir قابلدسترسی نیستند) دسترسی را به دادههایی که از قربانیان هر کمپین دیگری به سرقت رفتهاند ارائه دهد.
شکل ۱۴: Opendir روی یک پورت بهخصوص (کمپین) روی پنل مهاجمین
فایلهایی که در هر پوشهی کمپین قرار دارند شامل مواردی هستند که قبلاً به آنها اشاره شد:
- Contacts.txt – فهرستی از تمام مخاطبین دزدیدهشده از آخرین دستگاهی که به Botnet اضافه شدهاند.
- Sms.txt – تمام SMSهایی که از Bot دزدیده میشوند.
- Message.oliver – پیام Phishing که توسط Botها توزیع میشوند.
- Numbers.oliver – فهرست شماره تلفنهایی که Botها باید از آن پیام را ارسال کنند.
- On.oliver – فهرست تمام Botهای آنلاین.
- Users.oliver – فهرست کامل android_idهایی که در این Botnet شرکت دارند.
دادههای افشاشده نشان میدهند که در کمتر از ده روز، بیش از هزار قربانی برنامهی کاربردی را از یک کمپین نصب کردند که این یعنی روزانه حدود هزار قربانی در یک کمپین از بین چندین کمپین که بهطور همزمان اجرا میشود. این یعنی تخمین تعداد قربانیان (نه لزوماً کسانی که اطلاعات کارت بانکی را ارائه دادهاند، اما حداقل کسانی که برنامه کاربردی مخرب را نصب کرده و به بخشی از Botnet تبدیل شدند) در طول چند ماه این کمپینها به دهها هزار نفر میرسد.
شکل ۱۵: بخشی از SMSها از یکی از قربانیان نشان میدهد که کارت اعتباری به سرقت رفته چطور برای برداشت پول به مقادیر کم اما چندین بار در یک زمان کوتاه مورد استفاده قرار گرفته است.
عاملان و مدلهای کسبوکار
چندین Mobile Package
در حین ردیابی نوع خاصی از بدافزار که قبلاً توصیف شد، چندین کمپین دیگر نیز پیدا شد که نهتنها خود را بهجای خدمات دولت ایران جا میزدند، بلکه همچنین خدمات تأمین اجتماعی ایران، سامانههای ردیابی دستگاه که برای سرقت یا گم شدن گوشی موبایل استفاده میشوند، بانکهای ایران، سایتهای همسریابی و خرید، صرافیهای ارزهای دیجیتال و غیره را نیز جعل هویت میکردند.
شکل ۱۶: Screenshot از یکی از سایتهای Phishing که خود را به شکل سایت خرید دیوار نشان میدهد (سمت چپ) و یک سایت همسریابی جعلی (سمت راست)
در کل، چندصد برنامههای کاربردی اندروید Phishing پیدا شد که در چند ماه گذشته توزیع شده بودند. این برنامهها از مبنای کد متفاوتی استفاده میکنند، اما همگی حاوی ویژگیهای مشابهی هستند و از روش یکسانی برای پخش پیامهای SMS توسط یک Botnet، به دستگاههای دیگر براساس دستوراتی که از Firebase Cloud Messaging دریافت میشوند، استفاده میکنند.
نامهای Packageهای این برنامههای کاربردی شامل موارد زیر هستند:
- Psiphone3.com – همان نوع برنامهی کاربردی که در این مقاله در موردش صحبت شد، با بیش از ۵۰ برنامهی کاربردی که در VirusTotal آپلود شده است. کمپینی که از این نوع از برنامه کاربردی استفاده میکند کار خود را اوایل اکتبر ۲۰۲۱ آغاز کرد.
- caco333.ca – شایعترین نوع برنامه با بیش از ۲۵۰ برنامه کاربردی از زمان شروع توزیع آن
- ir.PluTus.pluto Package – از انتهای سپتامبر مشاهده شده است
از جنبهی فنی، سطح این دو برنامه کاربردی خیلی پیچیدهتراز آنچه قبلاً در موردش صحبت شد، نیست. برخی از این برنامههای کاربردی حاوی ویژگیهای بیشتری هستند که میتوان برای مخفیکاری از آنها بهره برد، از جمله ویژگیهایی که دادههای Clipboard را به C&C ارسال میکنند یا برنامهی کاربردی را قطع کرده یا Notificationها را بیصدا مینمایند تا قربانیان متوجه پیام SMS رمز پویا نشود.
شکل ۱۷: بخشی از کد بدافزار که مسئول ویژگیهای اضافی است
فروش باتنتها به عنوان یک سرویس
تجزیهوتحلیل زیرساخت و انواع مختلف Packageهای اندروید مخرب مربوط به آن نشان میدهد که Botnetها بهعنوان یک سرویس به فروش میرسند. تحقیقات بیشتر در گروههای تلگرام نشان داد که فیشینگ یک صنعت رو به رشد در بازار ایران است. برای مثال میتوان به یک گروه تلگرام به نام «Zalem Phishing» اشاره کرد. این گروه در ماه جولای ساخته شده است و بیشتر به اشتراک جوک و تصاویر خندهدار از گربهها اختصاص دارد، اما صفحات فیشینگ با زمینههای مختلف را نیز به قیمت ۲۰ الی ۴۰ دلار میفروشد و تقریباً ۶۰۰۰۰ عضو دارد. کانال دیگری به نام «Source Phish» که جدیتر است و بهطور کامل به فیشینگ اختصاص دارد، تقریباً ۱۰۰۰ عضو داشته و حاوی کد منبع زیادی برای صفحات فیشینگ مختلف است.
در صحبتهای خصوصی با فروشندگان فعال در کانال، برای قیمتی بین ۵۰ تا ۱۰۰ دلار (بسته به فروشنده)، هرکسی میتواند بستههای کمپین موبایل آمادهبهکار دارای کنترلپنلهایی را خریداری کنند که امکان مدیریت آنها توسط یک مهاجم بدون مهارت بهسادگی از طریق یک رابط کاربر Bot تلگرام وجود دارد:
شکل ۱۸: نمونههایی از پنلهای Bot تلگرام
برنامههای کاربردی پیشرفتهتری مثل caco333.ca، که دارای قابلیتهای RAT باشند، گرانقیمتتر هستند و میتوانند به قیمت ۱۰۰ الی ۱۵۰ دلار برسند:
شکل ۱۹: نمونههایی از پنلهای Bot تلگرام حاوی ویژگیهای پیشرفته
در ماه سپتامبر، اخباری گزارش شد که بیان میکرد پلیس ایران فرد مسئول فیشینگ ثنا را دستگیر کرده است. ویژگی باتنت بهعنوان یک سرویس که بالاتر شرح داده شد، نشان میدهد که چرا دستگیری این فرد چشمانداز تهدید را تغییر نداده است. حتی اگر فرد دستگیرشده مسئول یک یا دو کمپین کوچک باشد، کمپینهای خیلی بیشتری وجود دارند که هنوز فعال هستند و هرکدام از آنها ضررهای مالی مشابهی را برای عام مردم ایجاد میکنند.
نتیجهگیری
این مقاله، مثالی از یک کمپین موفق را شرح داد که از مهندسی اجتماعی بهره برده و موجب ضررهای مالی بزرگی به قربانیان میشود، هرچند که ابزار آن از نظر فنی ساده و بیکیفیت است. این کمپین همچنین میتواند موجب افشای داده از گوشیهای موبایل قربانیان شود و اطلاعات به سرقت رفته بهسادگی در اینترنت قابلدسترسی هستند.
موفقیت مالی این عملیات و موردتوجه قرار گرفتن آن چند دلیل کلیدی دارد:
- این عملیات یک طوفان از SMS ایجاد میکند، زیرا چندین Botnet که اپراتورهای مختلفی دارند، بهطور دائم لینکهای فیشینگ را روی فهرستهای مخاطبین زیادی توزیع میکنند.
- طعمههای این پیامها موضوعات مختلفی از جمله موضوعاتی حساس مثل شکایت و هشدار به دستگیری از سوی دستگاه قضایی ایران دارند و باعث میشوند که قربانیان روی این پیامها تمرکز کنند نه امنیت خود.
- سرقت کدهای رمز پویا به عاملان این توانایی را میدهد که بهآرامی اما باثبات مقادیر قابلتوجهی از پول را از حسابهای قربانیان برداشت کنند، حتی وقتیکه بانک محدودیتهایی داشته باشد، هر عملیات واحد میتواند چند صد هزار تومان برداشت کند.
باتنتهای Smishing از شمارههای تلفن دستگاههای آلودهی موجود استفاده میکنند و دامینهای فیشینگ دائماً در حال تغییر هستند. این کار مسدود کردن پیامهای SMS و ردیابی مهاجمان را در سطح شرکتهای مخابراتی سخت و حتی غیرممکن میکند. همین امر همراه با راحت بودن استفاده از مدل کسبوکار «Botnet بهعنوان سرویس» باعث شدهاند که تعداد این برنامههای کاربردی برای اندروید و افرادی که آنها را به فروش میرسانند افزایش پیدا کند. در حال حاضر، به نظر میرسد تنها راه حل مقیاسپذیر و بلندمدت برای این مشکل افزایش آگاهی امنیتی بین عموم مردم است.