شرکت امنیت سایبری «سوفوس» (Sophos) در تحقیقات اخیر خود از یک کارزار سایبری پرده برداشت که برای ماه‌ها مشتریان چند بانک ایرانی را هدف قرار داده است. به گفته این شرکت، کاربران بانک‌های ملت، صادرات، رسالت و مرکزی از اهداف بدافزارهای این کارزار بوده‌اند.

این برنامه‌های مخرب که اطلاعات حساب‌های بانکی مانند نام کاربری، رمز عبور اینترنتی و اطلاعات کارت افراد را به سرقت می‌بردند در بازه زمانی دسامبر ۲۰۲۲ تا می ۲۰۲۳ فعال بوده‌اند.

همچنین بدافزارهای استفاده شده در این کارزار امکان پنهان‌سازی از دید کاربر و خواندن اطلاعات پیامک‌های دریافتی دستگاه تلفن را داشته‌اند.

این کار به هکرها کمک می‌کرده تا بتوانند به رمز دوم مشتریان دسترسی پیدا کنند.

پس از نصب این بدافزارها که در ظاهر کاملا شبیه به برنامه‌های رسمی بانک‌های داخلی بودند، ابتدا از کاربر مجوز دسترسی به پیامک‌ها خواسته می‌شده و قربانی پس از اعطای دسترسی، با صفحه جعلی ورود به بانک مواجه می‌شده است.

هکر یا هکرها هر گونه اطلاعات وارد شده در این صفحه را ذخیره و به سیستم تحت مدیریت خود منتقل می‌کردند.

در مرحله بعد از کاربران خواسته می‌شده تا تاریخ تولد خود را نیز وارد کنند. پس از این مرحله، پیغام خطایی به آن‌ها نمایش داده می‌شده. محتوای این پیغام به کاربر اطلاع می‌داده که حساب او ظرف ۲۴ ساعت آینده فعال می‌شود.

این بازه به هکرها اجازه می‌داده مدت زمان کافی برای سوءاستفاده از اطلاعات به دست آمده یا امکان فروش آن را داشته باشند.

علاوه بر این، بدافزارهای یاد شده با جست‌وجو در فهرست برنامه‌های نصب شده در تلفن، به بررسی احتمال وجود دیگر اپلیکیشن‌های مالی، بانکی و صرافی‌های رمزارز می‌پرداختند.

در فهرست برنامه‌های مورد بررسی هکرها مواردی مانند اپلیکیشن‌های آسان‌پرداخت، نوبیتکس، بلوبانک، تترلند، بانک سپه، دیجی‌پی و نمونه‌های مشابه دیگر وجود داشته است.

بر اساس تحقیقات انجام شده به وسیله پژوهشگران سوفوس، برنامه‌های جعلی مربوط به این کارزار از طریق سایت‌های تازه‌تاسیس و گمنام در دسترس افراد قرار می‌گرفته است.

برخی از این سایت‌ها همچنین کارکرد فیشینگ داشتند و برای سرقت اطلاعات کاربری طراحی شده بودند.

هکرها برخی از دستورات خود مانند پنهان‌سازی برنامه از دید کاربر یا دریافت محتوای پیامک‌ها را به واسطه زیرساخت «فایربیس» (Firebase) گوگل ارسال می‌کردند.

محققان شرکت سوفوس عقیده دارند این هکرها با نفوذ به سرورهای «مجتمع آموزش علوم اسلامی کوثر»، از زیرساخت این مجموعه برای فعالیت‌های مجرمانه و میزبانی کدهای خود استفاده می‌کردند.

تاکنون هیچ کدام از نهادهای امنیتی مسوول در این زمینه در کشور مانند مرکز افتا یا مرکز ماهر، واکنشی به این گزارش نشان نداده‌اند.