کمیته رکن چهارم – گروهی با انگیزه مالی به نام GoldFactory موج جدیدی از حملات بدافزاری را علیه کاربران موبایل در کشورهای جنوب شرقی آسیا آغاز کرده است. این حملات با استفاده از نسخههای دستکاریشده اپلیکیشنهای بانکی انجام میشود که در ظاهر، خدمات دولتی یا شرکتهای معتبر را شبیهسازی میکنند.
به گزارش کمیته رکن چهارم، این کمپین که از اکتبر ۲۰۲۴ آغاز شده، با جعل هویت نهادهای رسمی و ارسال لینکهای مخرب از طریق پیامرسانهایی مانند Zalo، کاربران را به دانلود اپهای آلوده ترغیب میکند. این اپلیکیشنها پس از نصب، بدافزارهایی مانند Gigabud، MMRat یا Remo را روی گوشی قربانی فعال میکنند.
بررسیهای انجامشده نشان میدهد بیش از سههزار فایل مخرب شناسایی شده که منجر به بیش از یازدههزار مورد آلودگی شدهاند. اپها بهگونهای طراحی شدهاند که تنها بخش کوچکی از آنها دستکاری شده و در ظاهر مانند نسخه اصلی اپ بانکی عمل میکنند.
این بدافزارها با استفاده از فریمورکهایی نظیر Frida، Dobby و Pine به منطق برنامه متصل میشوند و قابلیتهایی از جمله دور زدن امنیت، دسترسی به اطلاعات کاربر، اجرای حرکات، و حتی پخش زنده صفحه دستگاه را دارند. در برخی موارد، کلاهبرداران اطلاعات هویتی را از کارتها استخراج کرده یا صفحات جعلی برای دریافت رمز و ثبتنام حساب ایجاد میکنند.
در نمونههای جدید، بدافزاری به نام Gigaflower نیز شناسایی شده که قابلیتهایی پیشرفتهتر دارد و جایگزین نسخه قبلی (Gigabud) خواهد بود. همچنین به نظر میرسد مجرمان برای دور زدن امنیت iOS، کاربران را به استفاده از دستگاه اندرویدی اطرافیان سوق میدهند.
کارشناسان هشدار دادهاند که دستکاری مستقیم اپهای بانکی، روشی کمهزینه اما بسیار مؤثر برای عبور از ابزارهای تشخیص امنیتی سنتی است و به مهاجمان امکان میدهد عملیات گستردهای را اجرا کنند.
