نماد سایت اتاق خبر شبکه گستر

گزارش سوفوس در خصوص یک بدافزار بانکی ایرانی

شرکت سوفوس (Sophos)، جزییات بدافزاری موبایلی را منتشر کرده که هدف آن، سرقت اطلاعات ورود به بانکداری اینترنتی کاربران ایرانی است.

این بدافزار که سوفوس از آن با عنوان Andr/Phish-ERC یاد کرده در قالب برنامه‌های بانکی ایرانی  منتشر می‌شود.

اکثر این برنامه‌ها توسط یک گواهینامه – احتمالاً سرقت‌شده – امضا شده‌اند.

همه برنامه‌های مذکور از اواخر سال 1401 تا ماه‌های ابتدایی امسال حداقل در یکی از بازارهای ایرانی قابل دانلود بوده‌اند.

برنامه‌های مذکور پس از نصب بر روی دستگاه قربانی، اطلاعات ورود به بانکداری اینترنتی و جزئیات کارت اعتباری را جمع‌آوری می‌کنند. آنها چندین قابلیت دیگر از جمله رصد و رهگیری پیامک‌های دریافتی که بانک‌ها در جریان احراز هویت از آنها استفاده می‌کنند را در خود دارند.

 

 

به گفته سوفوس، یکی از سرورهای فرماندهی (C2) کارزار این بدافزار، سرور وب دانشگاهی در ایران است که به نظر می‌رسد چندین فایل PHP آن توسط مهاجمان هک شده است.

گزارش سوفوس در لینک زیر قابل دریافت و مطالعه است:

https://news.sophos.com/en-us/2023/07/27/uncovering-an-iranian-mobile-malware-campaign/

نشانه‌های آلودگی این کارزار نیز در لینک زیر قابل دسترس است»

https://github.com/sophoslabs/IoCs/blob/master/Iranian-banking-malware.csv

خروج از نسخه موبایل