ویرگول
ورودثبت نام
جواد دادگر
جواد دادگر
خواندن ۶ دقیقه·۳ سال پیش

فیشینگ بعد از رمز دوم پویا و بدافزارهای Push Notification

تقریبا از بعد از اجرای طرح رمز دوم پویا فیشینگ صفحات بانکی هم تغییر کرده و شکل جدیدی به خود گرفت و پیشرفت کرد هر چند رمزدوم پویا توانست تا حد بسیار خوبی جلوی وضعیت نابسامان فیشینگ در ایران را بگیرد

اما کماکان فیشرها از روش‌های جدیدتری برای اینکار استفاده میکنند مطالب متفاوتی در مورد این روش‌ها نوشته شده اما به بهانه اینکه امروز و در زمان خالی یک اپلیکیشن فیشینگ رو بررسی کردم در کنار گزارش اون مواردی رو هم درباره روش‌ها جدید مینویسم

شروع انتشار اپلیکیشن

همه چیز با یک پیام یا پیامک شروع میشود که محتوای آن این است که یک ابلاغیه الکترونیکی برای شما صادر شده است و برای مشاهده آن باید روی لینک زیر کلیک کنید این سناریو با توجه به اینکه سامانه های قوه قضاییه هم به تازگی الکترونیکی شده است و خود موضوع هم موضوع مهمی میباشد میتواند کاربر را مجبور کند تا روی لینک کلیک کند

پیامی که ارسال میشود و حاوی لینک دانلود اپلیکیشن آلوده میباشد
پیامی که ارسال میشود و حاوی لینک دانلود اپلیکیشن آلوده میباشد

بعد از کلیک روی لینک کوتاه شده اپلیکیشن آلوده که روی یک سرویس عمومی میزبانی شده است دانلود میشود و بعد از این که اپلیکیشن را نصب کنید ابتدا با درخواست هایی نصب شدن اپلیکیشن برای فیشر مشخص میشود و سپس شما صفحه ای را با مضمون سامانه قوه قضاییه مشاهده میکنید

صفحه اول اپلیکیشن و شبیه سازی سامانه قوه قضاییه
صفحه اول اپلیکیشن و شبیه سازی سامانه قوه قضاییه

در ادامه بعد از تایید اپلیکیشن از شما نام و نام خانوادگی و همینطور شماره تماس و کد ملی دریافت میکند و میگوید برای ورود به سامانه باید مبلغ اندکی برای مثال ۲۰۰۰ تومن رو پرداخت بکنید

دریافت اطلاعات هویتی و اقدام به پرداخت
دریافت اطلاعات هویتی و اقدام به پرداخت

پس از این مرحله شما به درگاه پرداخت به پرداخت ملت شبیه سازی شده منتقل میشوید حتی یک نوار آدرس در این درگاه بصورت جعلی طراحی شده است که آدرس اصلی درگاه در سایت شاپرک را بصورت درست نمایش میدهد اما در واقع این نوار آدرس مربوط به مرورگر نمیباشد و ساختگی است

صفحه پرداخت جعلی شبیه سازی شده
صفحه پرداخت جعلی شبیه سازی شده

در این صفحه مبلغ به رقم مشخص شده و پس از این که قربانی اطلاعات را واریز میکند و کپچا را حل کرده و درخواست رمزدوم میکند بعد از مدت کوتاهی پیامک رمز دوم برای قربانی ارسال میشود تا به اینجا فرایندی نیز در پشت صحنه در حال اجرا میباشد که در ادامه توضیح خواهم داد پس از دریافت رمز دوم پویا قربانی رمزدوم را وارد کرده و تایید میکند اما درگاه صفحه اروری را نمایش میدهد مبنی بر اینکه مشکلی پیش آمده است و همزمان اطلاعات کارت قربانی به همراه کپچا و رمز دوم را به سرور خود ارسال میکند

بعد از پایان این مرحله وقتی کاربر میخواهد به اپلیکیشن برگردد ایکون اپلیکیشن حذف شده و پیامی مبنی بر اینکه اپ حذف شده نمایش داده میشود اما در واقع حذف نشده و فقط ایکون آن پنهان شده است

مخفی کردن ایکون اپلیکیشن از لیست گوشی
مخفی کردن ایکون اپلیکیشن از لیست گوشی

چه اتفاقی در پشت ماجرا می افتد

پیج های فیشینگی که به تازگی طراحی شده اند پیشرفت زیادی کرده اند همزمان که شما به صفحه پرداخت جعلی منتقل میشوید در پشت صحنه یک درگاه پرداخت واقعی معمولا یک فرايند خرید شارژ از سایت های فروش شارژ تلفن همراه نیز اجرا میشود و به اصطلاح بعنوان درگاه پروکسی شده قرار میگیرد هر چیزی که شما وارد میکنید دقیقا به این درگاه منتقل میشود و وقتی درخواست رمزپویا میکنید از آن درگاهی که در پشت صحنه اجرا شده است درخواست رمز پویا داده میشود با توجه به یکی بودن مبالغ وقتی شما رمز دوم پیامک شده را وارد میکنید در آن طرف هم وارد میشود و خرید شارژ از حساب شما انجام میشود به این طریق فیشر میتواند صحت اطلاعات دریافتی از شما را تایید کند و در صورتی که اطلاعات صحیح نباشد و پرداخت انجام نشود اطلاعات دور ریخته میشود

مشکل اصلی که برای فیشر اینجا وجود دارد حل کردن کپچا درگاه اصلی میباشد که البته به روش‌هایی قابل حل میباشد اما روشی که به نظر میرسد قابل اجرا تر است و اجرا هم میشود انتقال کپچا درگاه اصلی به درگاه جعلی میباشد به این طریق شما کپچا آن درگاه دیگر را هم حل میکنید و برای فیشر میفرستید او هم بی دردسر پرداخت را انجام میدهد

کماکان موردی که هست به علت ارتباط رمز دوم و مبلغ قابل پرداخت فیشر میتواند فقط همانقدری از کارت شما برداشت کند که برایتان درگاه جعلی باز کرده است یا اگر غیر از این باشد شما در پیامک رمز پویا مبلغ درحال پرداخت و همینطور نام صاحب درگاه را میبیند پس نمیتوان مبلغ قابل توجه و زیادی برداشت کرد همینطور که نمیتوان از موجودی واقعی حساب مطلع شد و ممکن است حساب موجودی کافی نداشته باشد


رفتار بدافزار گونه

تا به اینجا همه چیز یک فرایند فیشینگ بود که بدون نیاز به اپلیکیشن میتوانست بر بستر وب نیز اجرا شود اما این بدافزار یک امکان دیگر نیز به فیشر میدهد مخصوصا وقتی که اطلاعات کارت شما را گرفته است و حالا فقط نیاز به پیامک رمز دوم پویا دارد و البته اپلیکیشن بصورت مخفی در تلفن همراه نصب میباشد

قابلیت بدافزاری که وجود دارد امکان خواندن همه پیامک های دریافتی میباشد بدافزار میتواند با استفاده از PhoneEvents.SMSInterceptor در B4A از دریافت پیامک ها مطلع شده و آنها را بخواند

حالا بدافزار میتواند درخواست رمز پویا دهد و رمز پیامک شده را هم هر زمان خواست ببیند برای اینکار فیشر پیامک را از طریق یک بات تلگرام برای خود میفرستد اما اشتباهی که کرده توکن بات را در داخل اپلیکیشن هارد کد کرده است :)

توکن ربات تلگرام فیشر که پیامک ها برای آن ارسال میشود
توکن ربات تلگرام فیشر که پیامک ها برای آن ارسال میشود

سواستفاده از Push Notification

اما برای همه اینکارها نیاز به ارتباط با سرور دریافت دستورات و ارسال دستورات به بدافزار وجود دارد که بصورت خیلی کلی آن را C&C می نامیم اگر قبلا از نوشته‌های من خوانده باشید در ماجرای تلگرام طلایی و غیررسمی ها نوشته بود که اینها از سرویس Push Notification برای ارسال دستورات استفاده میکنند به این شکل که یک رسیور از قبل نوشته شده است و با دریافت اطلاعات متفاوتی در قالب یک پوش نوتیف دستورات مختلفی در اپلیکیشن اجرا میشوند و همینطور اطلاعاتی مثل آدرس‌ها و دستورات به بدافزار میرسند

در این روش فوایدی برای فیشر هکر وجود دارد که یکی از آنها این است که میتواند همه داده های حساس را در اپلیکیشن هارد کد نکند و هر زمان که خواست آنها را به اپلیکیشن برساند و در نتیجه جرم‌یابی و ردیابی هکر سخت تر میشود از طرفی احتمال شناسایی خودکار بدافزار توسط آنتی ویروس ها یا نمایش اطلاعات درون آن نیز کمتر میشود همینطور نیاز نیست هکر برای اینکار از زیرساخت های ارتباطی خودش استفاده کند

در این بدافزار هم از این تکنیک استفاده شده است اینجا و در زمانی که بدافزار در گوشی نصب میباشد و ایکون آن مخفی میباشد و همینطور فیشر قبلا همه اطلاعات بانکی فرد به جز رمز دوم پویا را دریافت کرده است با ارسال پوش نوتیف هکر میتواند دستوراتی شامل دریافت اطلاعات دستگاه و همینطور دریافت کلیپ بورد کاربر را بفرستد اتفاقی که برای برداشتن پیامک ها می افتد با دریافت یک پوش نوتیف که حاوی کلید واژه ها و اطلاعات خاصی است هکر دستگاه را به حالت بیصدا تغییر میدهد

تغییر RingerMode در b4a
تغییر RingerMode در b4a

سپس میتواند پیامک دریافتی را نیز از طریق بات تلگرام دریافت کند

نهایتا فیشر میتواند در آرامش از کارت قربانی موجودی بگیرد و بعد مبلغی که بخواهد را تراکنش انجام دهد و رمزپویا را هم دریافت کرده و تراکنش را کامل کند

پایانی

فیشینگ در ایران در حال حاضر بواسطه رمز دوم پویا بسیار کمتر شده است اما حالا فیشرها اقدام به تولید درگاه های بهتر و همینطور بدافزارهای موبایلی میکنند تا رمزدوم پویا را بدست بیاورند البته هیچ وقت نمیتوان بصورت ۱۰۰ درصد جلوی این نوع از فیشینگ را گرفت اما هنوز راهکارهای وجود دارد که بتوان امار را باز هم کمتر و کمتر کرد و قطعا بخش مهمی از این راهکارها اطلاع رسانی و افزایش آگاهی افراد در زمینه امنیت سایبری میباشد


معمولا این کمپین های فیشینگ هرکدام یک صفحه و اپلیکیشن ندارند و یک کدی که فردی نوشته است بصورت پکیج اماده فروخته میشود و افرادی فقط با خریدن این کدها و تغییر دادن بعضی متغیرها مثل ادرس سایت و ربات تلگرام و ... و با تبلیغات یک فیشینگ برای خودشان راه می اندازند









شاید از این پست‌ها خوشتان بیاید