Search
Menu

بررسی حملات گسترده بات‌نت‌های Smishing در ایران – بخش سوم

راهکار EDR

در قسمت اول مطلب بررسی حملات گسترده بات‌نت‌های Smishing در ایران به معرفی کمپین‌های بدافزاری پرداختیم که با استفاده جعلی از اسامی سامانه ثنا، اطلاعات کارت بانکی قربانیان را دریافت کرده و از حساب آن‌ها پول برداشت می‌کردند. در قسمت دوم به تجزیه و تحلیل فنی این کمپین‌ها پرداختیم.

داده‌های افشاشده‌ی قربانی

نه ‌تنها عاملان مخرب داده‌ها و پول را از قربانیان به سرقت می‌برند، بلکه عدم OPSEC کلی آن‌ها باعث می‌شود که داده‌های SMS که به سرقت رفته‌اند به بیرون درز کرده و در پنل‌های سایر مهاجمین قابل‌دسترسی باشند. بیش از ده کمپین مختلف به یکی از پنل‌ها به نام oliverdnssop[.]cf گزارش می‌دادند.  یک Opendir که ساختار فایل‌ها و پوشه‌های یک کمپین به‌خصوص را در معرض دید قرار دهد، می‌تواند با دسترسی مستقیم به URLهای کمپین‌های دیگر (حتی کمپین‌هایی که مستقیماً توسط Opendir قابل‌دسترسی نیستند) دسترسی را به داده‌هایی که از قربانیان هر کمپین دیگری به سرقت رفته‌اند ارائه دهد.

شکل ۱۴: Opendir روی یک پورت به‌خصوص (کمپین) روی پنل مهاجمین

فایل‌هایی که در هر پوشه‌ی کمپین قرار دارند شامل مواردی هستند که قبلاً به آن‌ها اشاره شد:

  • Contacts.txt – فهرستی از تمام مخاطبین دزدیده‌شده از آخرین دستگاهی که به Botnet اضافه شده‌اند.
  • Sms.txt – تمام SMSهایی که از Bot دزدیده می‌شوند.
  • Message.oliver – پیام Phishing که توسط Botها توزیع می‌شوند.
  • Numbers.oliver – فهرست شماره تلفن‌هایی که Botها باید از آن پیام را ارسال کنند.
  • On.oliver – فهرست تمام Botهای آنلاین.
  • Users.oliver – فهرست کامل android_idهایی که در این Botnet شرکت دارند.

داده‌های افشاشده نشان می‌دهند که در کمتر از ده روز، بیش از هزار قربانی برنامه‌ی کاربردی را از یک کمپین نصب کردند که این یعنی روزانه حدود هزار قربانی در یک کمپین از بین چندین کمپین که به‌طور همزمان اجرا می‌شود. این یعنی تخمین تعداد قربانیان (نه لزوماً کسانی که اطلاعات کارت بانکی را ارائه داده‌اند، اما حداقل کسانی که برنامه کاربردی مخرب را نصب کرده‌ و به بخشی از Botnet تبدیل شدند) در طول چند ماه این کمپین‌ها به ده‌ها هزار نفر می‌رسد.

شکل ۱۵: بخشی از SMSها از یکی از قربانیان نشان می‌دهد که کارت اعتباری به سرقت رفته چطور برای برداشت پول به مقادیر کم اما چندین بار در یک زمان کوتاه مورد استفاده قرار گرفته است.

عاملان و مدل‌های کسب‌و‌کار

چندین Mobile Package

در حین ردیابی نوع خاصی از بدافزار که قبلاً توصیف شد، چندین کمپین دیگر نیز پیدا شد که نه‌تنها خود را به‌جای خدمات دولت ایران جا می‌زدند، بلکه همچنین خدمات تأمین اجتماعی ایران، سامانه‌های ردیابی دستگاه که برای سرقت یا گم شدن گوشی موبایل استفاده می‌شوند، بانک‌های ایران، سایت‌های همسریابی و خرید، صرافی‌های ارزهای دیجیتال و غیره را نیز جعل هویت می‌کردند.

شکل ۱۶: Screenshot از یکی از سایت‌های Phishing که خود را به شکل سایت خرید دیوار نشان می‌دهد (سمت چپ) و یک سایت همسریابی جعلی (سمت راست)

در کل، چندصد برنامه‌های کاربردی اندروید Phishing پیدا شد که در چند ماه گذشته توزیع شده بودند. این برنامه‌ها از مبنای کد متفاوتی استفاده می‌کنند، اما همگی حاوی ویژگی‌های مشابهی هستند و از روش یکسانی برای پخش پیام‌های SMS توسط یک Botnet، به دستگاه‌های دیگر براساس دستوراتی که از Firebase Cloud Messaging دریافت‌ می‌شوند، استفاده می‌کنند.

نام‌های Packageهای این برنامه‌های کاربردی شامل موارد زیر هستند:

  • Psiphone3.com – همان نوع برنامه‌ی کاربردی که در این مقاله در موردش صحبت شد، با بیش از ۵۰ برنامه‌ی کاربردی که در VirusTotal آپلود شده است. کمپینی که از این نوع از برنامه کاربردی استفاده می‌کند کار خود را اوایل اکتبر ۲۰۲۱ آغاز کرد.
  • caco333.ca – شایع‌ترین نوع برنامه با بیش از ۲۵۰ برنامه کاربردی از زمان شروع توزیع آن
  • ir.PluTus.pluto Package – از انتهای سپتامبر مشاهده شده است

از جنبه‌ی فنی، سطح این دو برنامه کاربردی خیلی پیچیده‌تراز آنچه قبلاً در موردش صحبت شد، نیست. برخی از این برنامه‌های کاربردی حاوی ویژگی‌های بیشتری هستند که می‌توان برای مخفی‌کاری از آن‌ها بهره برد، از جمله ویژگی‌هایی که داده‌های Clipboard را به C&C ارسال می‌کنند یا برنامه‌ی کاربردی را قطع کرده یا Notificationها را بی‌صدا می‌نمایند تا قربانیان متوجه پیام SMS رمز پویا نشود.

شکل ۱۷: بخشی از کد بدافزار که مسئول ویژگی‌های اضافی است

فروش بات‌نت‌ها به عنوان یک سرویس

تجزیه‌و‌تحلیل زیرساخت و انواع مختلف Packageهای اندروید مخرب مربوط به آن نشان می‌دهد که Botnetها به‌عنوان یک سرویس به فروش می‌رسند. تحقیقات بیشتر در گروه‌های تلگرام نشان داد که فیشینگ یک صنعت رو به رشد در بازار ایران است. برای مثال می‌توان به یک گروه تلگرام به نام «Zalem Phishing» اشاره کرد. این گروه در ماه جولای ساخته شده است و بیشتر به اشتراک جوک و تصاویر خنده‌دار از گربه‌ها اختصاص دارد، اما صفحات فیشینگ با زمینه‌های مختلف را نیز به قیمت ۲۰ الی ۴۰ دلار می‌فروشد و تقریباً ۶۰۰۰۰ عضو دارد. کانال دیگری به نام «Source Phish» که جدی‌تر است و به‌طور کامل به فیشینگ اختصاص دارد، تقریباً ۱۰۰۰ عضو داشته و حاوی کد منبع زیادی برای صفحات فیشینگ مختلف است.

در صحبت‌های خصوصی با فروشندگان فعال در کانال، برای قیمتی بین ۵۰ تا ۱۰۰ دلار (بسته به فروشنده)، هرکسی می‌تواند بسته‌های کمپین موبایل آماده‌به‌کار دارای کنترل‌پنل‌هایی را خریداری کنند که امکان مدیریت آن‌ها توسط یک مهاجم بدون مهارت به‌سادگی از طریق یک رابط کاربر Bot تلگرام وجود دارد:

شکل ۱۸: نمونه‌هایی از پنل‌های Bot تلگرام

برنامه‌های کاربردی پیشرفته‌تری مثل caco333.ca، که دارای قابلیت‌های RAT باشند، گران‌قیمت‌تر هستند و می‌توانند به قیمت ۱۰۰ الی ۱۵۰ دلار برسند:

شکل ۱۹: نمونه‌هایی از پنل‌های Bot تلگرام حاوی ویژگی‌های پیشرفته

در ماه سپتامبر، اخباری گزارش شد که بیان می‌کرد پلیس ایران فرد مسئول فیشینگ ثنا را دستگیر کرده است. ویژگی بات‌نت به‌عنوان یک سرویس که بالاتر شرح داده شد، نشان می‌دهد که چرا دستگیری این فرد چشم‌انداز تهدید را تغییر نداده است. حتی اگر فرد دستگیرشده مسئول یک یا دو کمپین کوچک باشد، کمپین‌های خیلی بیشتری وجود دارند که هنوز  فعال هستند و هرکدام از آن‌ها ضررهای مالی مشابهی را برای عام مردم ایجاد می‌کنند.

نتیجه‌گیری

این مقاله، مثالی از یک کمپین موفق را شرح داد که از مهندسی اجتماعی بهره برده و موجب ضررهای مالی بزرگی به قربانیان می‌شود، هرچند که ابزار آن از نظر فنی ساده و بی‌کیفیت است. این کمپین همچنین می‌تواند موجب افشای داده از گوشی‌های موبایل قربانیان شود و اطلاعات به سرقت رفته به‌سادگی در اینترنت قابل‌دسترسی هستند.

موفقیت مالی این عملیات و موردتوجه قرار گرفتن آن چند دلیل کلیدی دارد:

  • این عملیات یک طوفان از SMS ایجاد می‌کند، زیرا چندین Botnet که اپراتورهای مختلفی دارند، به‌طور دائم لینک‌های فیشینگ را روی فهرست‌های مخاطبین زیادی توزیع می‌کنند.
  • طعمه‌های این پیام‌ها موضوعات مختلفی از جمله موضوعاتی حساس مثل شکایت و هشدار به دستگیری از سوی دستگاه قضایی ایران دارند و باعث می‌شوند که قربانیان روی این پیام‌ها تمرکز کنند نه امنیت خود.
  • سرقت کدهای رمز پویا به عاملان این توانایی را می‌دهد که به‌آرامی اما باثبات مقادیر قابل‌توجهی از پول را از حساب‌های قربانیان برداشت کنند، حتی وقتی‌که بانک محدودیت‌هایی داشته باشد، هر عملیات واحد می‌تواند چند صد هزار تومان برداشت کند.

بات‌نت‌های Smishing از شماره‌های تلفن دستگاه‌های آلوده‌ی موجود استفاده می‌کنند و دامین‌های فیشینگ دائماً در حال تغییر هستند. این کار مسدود کردن پیام‌های SMS و ردیابی مهاجمان را در سطح شرکت‌های مخابراتی سخت و حتی غیرممکن می‌کند. همین امر همراه با راحت بودن استفاده از مدل کسب‌و‌کار «Botnet به‌عنوان سرویس» باعث شده‌اند که تعداد این برنامه‌های کاربردی برای اندروید و افرادی که آن‌ها را به فروش می‌رسانند افزایش پیدا کند. در حال حاضر، به نظر می‌رسد تنها راه حل مقیاس‌پذیر و بلندمدت برای این مشکل افزایش آگاهی امنیتی بین عموم مردم است.

کاتالوگ امن پردازان کویر
گزارش امنیتی
ایمیل خود را وارد کنید و عضو خبرنامه شوید.

آخرین اخبار

مقالات سایت

درباره شرکت

محصولات

خدمات

مقالات و منابع

ایمیل خود را وارد کنید تا از آخرین اخبار دنیای امنیت مطلع گردید.

تماس با ما
Telegram-plane Instagram Linkedin Eaparat

Info@apk-group.net

۴۲۲۷۳ - ۰۲۱

۳۶۲۹۰۹۹۰ - ۰۳۵

۴۵۸۱۲۳۹۶ (۰۲۱)

۳۶۲۹۰۹۹۲ (۰۳۵)

تهران - خیابان شهید بهشتی، خیابان صابونچی، کوچه ادایی، پلاک ۲، طبقه اول

یزد - خیابان شهید دکتر چمران، روبـروی کارخانه درخشان

تمامی حقوق وبسایت متعلق به شرکت امن‌پردازان کویر (APK) است.

Start typing to see posts you are looking for.

جهت ثبت درخواست همین حالا فرم را تکمیل نمایید.

با تکمیل فرم و ارسال درخواست خود، همکاران و کارشناسان ما در اسرع وقت با شما تماس خواهند گرفت.

جهت دانلود کاتالوگ شرکت همین حالا فرم را تکمیل نمایید.

جهت دانلود گزارش امنیتی 2023 همین حالا فرم را تکمیل نمایید.

در دنیای امنیت چه خبر؟
جهت دریافت آخرین اخبار دنیای امنیت شبکه و اطلاعات ایمیل خود را وارد کنید.