بررسی حملات گسترده بات‌نت‌های Smishing در ایران – بخش اول

در چند ماه گذشته، چندین شبکه و رسانه اجتماعی ایرانی هشدارهایی را در مورد کمپین‌های SMS Phishing منتشر کردند که از خدمات دولت ایران تقلید می‌کردند. این داستان قدیمی است: قربانیان روی یک لینک مخرب کلیک می‌کنند، اطلاعات کارت بانکی خود را وارد می‌کنند و در عرض چند ساعت پول‌شان را از دست می‌دهند. نکته‌ی قابل‌توجه در مورد این کمپین‌ها مقیاس عظیم آن‌ها است. تعداد بی‌سابقه‌ای از قربانیان داستان‌های مشابهی را در بخش نظرات سایت‌های خبری و شبکه‌های اجتماعی در مورد خالی شدن حساب بانکی خود به اشتراک گذاشتند.

برخلاف حملاتی که درگذشته دیده می‌شد، مثلاً تروجان Flubot که با تزریق کد و نمایش صفحات Overlay داده‌های حساس را از دستگاه‌ها به سرقت می‌برد، برنامه‌های کاربردی که در این تحقیق ارائه شدند برای فریب دادن قربانیان جهت گرفتن جزئیات کارت‌های بانکی آن‌ها، از مهندسی اجتماعی بهره می‌برند. نحوه‌ی انجام این حملات همیشه یکسان است. قربانیان یک SMS با ظاهری مشروع دریافت می‌کنند که لینکی به یک صفحه‌ی فیشینگ دارد که خود را به‌عنوان خدمات دولتی جا می‌زند و قربانیان را ترغیب می‌کند تا یک برنامه کاربردی اندروید مخرب را دانلود کرده و هزینه‌ی اندکی را برای سرویس بپردازند. برنامه کاربردی مخرب نه‌تنها شماره‌های کارت بانکی قربانی را جمع‌آوری می‌کند، بلکه همچنین به SMS احراز هویت دومرحله‌ای آن‌ها نیز دسترسی پیدا کرده و دستگاه قربانی را تبدیل به یک Bot می‌نماید که قابلیت پخش کردن SMSهای فیشینگ مشابهی را به قربانیان دیگر دارد. شواهد فنی و گزارشات عمومی نشان می‌دهد که ده‌ها هزار قربانی تحت تأثیر این موضوع قرار گرفتند و میلیاردها ریال پول به سرقت رفته است که به عدد ۱۰۰۰ تا ۲۰۰۰ دلار به ازای هر قربانی می‌رسد.

در این مقاله جزئیات فنی در مورد نحوه‌ی تشکیل شدن این کمپین‌ها، مدل کسب‌و‌کار و نحوه‌ی موفقیت آن‌ها، باوجود استفاده از ابزار غیرپیچیده، ارائه می‌گردد. به‌علاوه بررسی‌ها نشان می‌دهند که به دلیل سطح پایینِ OPSEC یا امنیت عملیاتی خود مهاجمین، داده‌های قربانیان تحت حفاظت نیست و افراد دیگر می‌توانند به‌سادگی به آن‌ها دسترسی پیدا کنند.

بااینکه میزان شیوع و خطر این کمپین‌ها توجه رسانه‌ها و پلیس سایبری ایران را به خود جلب کرده است، مهاجمین هنوز در حال پیشرفت هستند و برنامه‌های کاربردی مخرب و زیرساخت خود را به‌صورت روزانه بروزرسانی می‌کنند.

زنجیره‌ی آلودگی

شکل ۱: زنجیره‌ی آلودگی

حمله با یک پیامک فیشینگ آغاز می‌شود. در بسیاری از مواقع، این SMS پیامی از طرف سیستم اطلاع‌رسانی الکترونیکی قضایی است که به قربانی اطلاع می‌دهد که شکایتی علیه وی ثبت شده است. جدی بودن این مسئله می‌تواند توضیح دهد که چرا این کمپین تا این حد شیوع پیدا کرده است. وقتی‌که پیامی رسمی از دولت دریافت شود، اکثر شهروندان بدون فکر روی لینک کلیک می‌کنند.

شکل ۲: مثال‌هایی از پیامک‌های فیشینگ که به شهروندان ایرانی ارسال شده است

طبق گزارش چندین کاربر توییتر، این SMS حاوی یک اطلاع‌رسانی جعلی از قوه‌ی قضاییه در مورد یک شکایت جدید است که پیشنهاد می‌کند برای دیدن شکایت روی لینک کلیک شود. لینک موجود در SMS کاربر را به یک سایت فیشینگ می‌برد که معمولاً شبیه به یک سایت رسمی دولتی است. به کاربر اطلاع داده می‌شود که شکایتی علیه وی ثبت شده است و از او درخواست می‌شود که اطلاعات شخصی خود را وارد کند تا بتواند وارد سیستم الکترونیکی شود و به دلیل محدودیت‌های مربوط به کووید از رجوع به شعبه خودداری کند.

شکل ۳: سایت فیشینگ به قربانی اطلاع می‌دهد که شکایتی علیه وی ثبت شده است (سمت چپ) و از وی می‌خواهد که اطلاعات شخصی خود مثل نام، شماره تلفن و کد ملی را وارد کند تا وارد یک سیستم الکترونیکی جعلی شود

پس از وارد کردن اطلاعات شخصی، قربانی به صفحه‌ای هدایت می‌شود که در آن باید یک فایل apk. مخرب را دانلود کند. وقتی‌که برنامه کاربردی اندروید نصب شود، یک صفحه‌ی لاگین جعلی از سرویس احراز هویت سامانه‌ی ثنا یا سامانه الکترونیکی ابلاغ قضایی را نشان می‌دهد که شماره‌ی تلفن همراه و شماره‌ی ملی کاربر را درخواست می‌کند. این سامانه همچنین به قربانی اطلاع می‌دهد که باید برای ادامه دادن هزینه‌ای را پرداخت نماید. این هزینه خیلی کم است (حدود بیست یا گاهی اوقات پنجاه هزار ریال) و همین مسئله شبهات را کاهش می‌دهد و باعث می‌شود که این عملیات قانونی و مشروع به نظر برسد.

شکل ۴: صفحه‌ی احراز هویت جعلی (سمت چپ) و صفحه‌ی فیشینگ که جزئیات کارت بانکی را جمع‌آوری می‌کند (سمت راست)

پس از وارد کردن جزئیات، کاربر به یک صفحه‌ی پرداخت هدایت می‌شود. مثل اکثر صفحات فیشینگ، پس ‌از اینکه اطلاعات کارت بانکی وارد شد، سایت «خطا در پرداخت» را نمایش می‌دهد، اما پول از حساب کم می‌شود. البته مجموع بیست‌هزار ریال‌ها، هدف نهایی نیست. مهاجم اطلاعات کارت قربانی را دارد و برنامه کاربردی اندروید، همان Backdoorی که هنوز روی دستگاه قربانی نصب است، باعث می‌شود که هروقت عبور از احراز هویت دو مرحله‌ای یا اعتبارسنجی اضافی از سوی شرکت کارت اعتباری مورد نیاز باشد، سرقت مجدد ممکن شود.

این قابلیت‌های Backdoor در اندروید شامل موارد زیر است:

• سرقت SMS: بلافاصله بعد از نصب برنامه‌ی کاربردی جعلی، تمام پیام‌های SMS قربانیان در سرور مهاجم آپلود می‌شوند.
• مخفی شدن برای تداوم ماندگاری: پس از ارسال شدن اطلاعات کارت بانکی به عامل تهدید، برنامه کاربردی می‌تواند آیکون خود را مخفی کند تا کنترل کردن یا حذف آن برای قربانی دشوار شود.
• عبور از احراز هویت دومرحله‌ای: داشتن دسترسی به جزئیات کارت بانکی و SMS روی دستگاه کاربر به مهاجمین این توانایی را می‌دهد که با سواستفاده از احراز هویت دومرحله‌ای (رمز عبور پویا) وجوهی را به‌صورت غیرمجاز از حساب‌های بانکی قربانیان برداشت کنند.
• قابلیت‌های Botnet: بدافزار می‌تواند از طریق FCM یا Firebase Cloud Messaging با سرور C&C ارتباط برقرار کند که این کار به مهاجم توانایی اجرای دستورات اضافی، مثل سرقت مخاطبین یا ارسال پیام‌های SMS را روی دستگاه قربانی می‌دهد.
• امکانات مربوط به Worm: برنامه‌ی کاربردی می‌تواند با استفاده از یک پیام سفارشی و فهرستی از شماره تلفن‌هایی که از سرور C&C دریافت می‌شوند، پیام‌های SMS را به فهرستی از قربانیان ارسال کند. این کار به عاملان تهدید این توانایی را می‌دهد که پیام‌های فیشینگ را از شماره تلفن‌های کاربران عادی ارسال کند، نه از یک مکان متمرکز و بدین‌صورت به مجموعه‌ی کوچکی از شماره تلفن‌ها که به‌راحتی مسدود می‌شوند، محدود نخواهد بود. این یعنی از نظر فنی، هیچ شماره‌ی مخربی وجود ندارد که بتوان از طریق شرکت‌های مخابراتی آن‌ها را مسدود کرده یا به سوی مهاجم ردیابی نمود.

تجزیه‌و‌تحلیل فنی با جزئیات بیشتری نشان می‌دهد که این ویژگی‌های Backdoor چطور اعمال می‌گردند. در قسمت دوم مطلب، به بررسی فنی این عملیات فیشینگ می‌پردازیم.