به گزارش کارگروه حملات سایبری خبرگزاری سایبربان، طبق گزارش جدید شرکت امنیت سایبری ایست (ESET) که در اسلواکی مستقر است، این برنامههای مخرب بر روی دستگاههای اندروید و آی او اس (iOS) از وبسایتهای شخص ثالث نصب شده و از تدابیر امنیتی سنتی که به کاربران درباره نصب برنامههای ناشناس هشدار میدهند، عبور کردند.
این کمپین که از نوامبر سال گذشته آغاز شده است، توسط دو گروه تهدیدکننده انجام شد که از زیرساختهای بسیار متفاوتی استفاده میکردند.
با این حال، محققان هنوز این حملات را به گروههای هکری خاصی نسبت ندادهاند.
از میان قربانیان شناختهشده این حملات میتوان به یک بانک برجسته در کشور چک اشاره کرد که در گزارش نامی از آن برده نشده است، همچنین بانک او تی پی (OTP) مجارستان و بانک تی بی سی (TBC) گرجستان.
برای دسترسی به دستگاههای قربانیان، هکرها با استفاده از تماسهای خودکار صوتی، پیامکها و تبلیغات در شبکههای اجتماعی، کاربران را فریب داده تا برنامههای بانکی مخرب را نصب کنند.
برای معتبرتر جلوه دادن خود، هکرها حتی صفحه فیشینگ با کیفیت بالایی طراحی کردند که فروشگاه رسمی گوگل پلی (Google Play) را تقلید میکرد، اگرچه این برنامهها هرگز در فروشگاه واقعی موجود نبودند.
برنامههای نصبشده بر روی دستگاههای هدف به عنوان برنامههای وب پیشرفته (PWA) شناسایی شدند که مانند برنامههای موبایل واقعی عمل میکنند و به مهاجمان اجازه میدهند به میکروفون، مکانجغرافیایی، دوربین و سایر عملکردهای پشتیبانیشده مرورگر دسترسی پیدا کنند.
محققان توضیح دادند:
برنامههای وب پیشرفته اساساً وبسایتهایی هستند که به شکل برنامههای مستقل طراحی شدهاند. این برنامهها کاربران اندروید و آی او اس را هدف قرار داده و توسط سیستمهای عامل به عنوان خطر احتمالی تشخیص داده نشدهاند.
وبسایتهای فیشینگ که کاربران آی او اس را هدف قرار داده بودند، از قربانیان خواستند تا یک برنامه وب پیشرفته را به صفحه اصلی خود اضافه کنند، در حالی که در دستگاههای اندروید، برنامه مخرب پس از تأیید پنجرههای پاپآپ سفارشی در مرورگر نصب میشد.
پس از نصب، از قربانیان خواسته میشد تا برای دسترسی به حسابهای بانکی خود از طریق برنامههای بانکی جدید، اطلاعات کاربری اینترنت بانکی خود را وارد کنند.
این برنامهها تقریباً "غیرقابل تشخیص" از برنامههای معتبر بودند که آنها را تقلید میکردند.
تمام اطلاعات وارد شده به سرورهای مهاجمان ارسال میشد.
طبق اعلام شرکت ایست، تمامی اطلاعات حساس کشف شده در طول تحقیق به بانکهای آسیبدیده ارسال شدهاند.
محققان همچنین مدعی شدند که توانستهاند چندین دامنه فیشینگ و سرورهای تحت کنترل هکرها را تعطیل کنند.
یک کمپین برنامههای وب پیشرفته مشابه در لهستان نیز در ژوئیه گذشته کشف شد، زمانی که هکرها تلاش کردند کاربران را فریب دهند تا بدون نیاز به استفاده از فروشگاه گوگل پلی، یک نسخه تقلبی از برنامه بانکی لهستانی را نصب کنند.
شرکت ایست اظهار کرد:
انتظار داریم برنامههای مشابه بیشتری ایجاد و توزیع شوند، زیرا پس از نصب، تشخیص برنامههای معتبر از برنامههای فیشینگ دشوار است.
