شرکت سوفوس (Sophos)، جزییات بدافزاری موبایلی را منتشر کرده که هدف آن، سرقت اطلاعات ورود به بانکداری اینترنتی کاربران ایرانی است.
این بدافزار که سوفوس از آن با عنوان Andr/Phish-ERC یاد کرده در قالب برنامههای بانکی ایرانی منتشر میشود.
اکثر این برنامهها توسط یک گواهینامه – احتمالاً سرقتشده – امضا شدهاند.
همه برنامههای مذکور از اواخر سال 1401 تا ماههای ابتدایی امسال حداقل در یکی از بازارهای ایرانی قابل دانلود بودهاند.
برنامههای مذکور پس از نصب بر روی دستگاه قربانی، اطلاعات ورود به بانکداری اینترنتی و جزئیات کارت اعتباری را جمعآوری میکنند. آنها چندین قابلیت دیگر از جمله رصد و رهگیری پیامکهای دریافتی که بانکها در جریان احراز هویت از آنها استفاده میکنند را در خود دارند.
به گفته سوفوس، یکی از سرورهای فرماندهی (C2) کارزار این بدافزار، سرور وب دانشگاهی در ایران است که به نظر میرسد چندین فایل PHP آن توسط مهاجمان هک شده است.
گزارش سوفوس در لینک زیر قابل دریافت و مطالعه است:
https://news.sophos.com/en-us/2023/07/27/uncovering-an-iranian-mobile-malware-campaign/
نشانههای آلودگی این کارزار نیز در لینک زیر قابل دسترس است»
https://github.com/sophoslabs/IoCs/blob/master/Iranian-banking-malware.csv