🚀 لقد رفعت CloudSek جولة B1 من السلسلة B1 بقيمة 19 مليون دولار - تعزيز مستقبل الأمن السيبراني التنبؤي
Home
Threat Intelligence Posts
استخبارات الخصم

طريقة عمل مرتجلة لاستهداف عملاء البنوك الهندية عبر البرامج الضارة لإعادة توجيه الرسائل القصيرة

كشف فريق CloudSek عن حصان طروادة مصرفي، مع طريقة عمل مرتجلة، حيث يستضيف ممثل التهديد أو مجموعة من الجهات الفاعلة في مجال التهديد بوابة شكاوى بسيطة عبر الإنترنت تحتوي على نطاقات مثل online-compaly [.] com أو شكوى العملاء [.] com وتستهدف عملاء البنوك الهندية.
Updated on
August 19, 2025
Published on
June 22, 2022
Read MINUTES
5
Subscribe to the latest industry news, threats and resources.
الفئة: استخبارات الخصمالمنطقة: الهندالصناعة: الخدمات المالية والمصرفيةالمنطقة: A1

ملخص تنفيذي

تهديدتأثيرتخفيف
  • حملة تصيد جديدة تستهدف مستهلكي البنوك الهندية.
  • يجمع موقع التصيد الاحتيالي بيانات الاعتماد المصرفية للضحايا ومعلومات تحديد الهوية الشخصية، والتي يتم من خلالها تنزيل برنامج ضار لإعادة توجيه الرسائل القصيرة بنظام Android إلى أجهزتهم.
  • يمكن استخدام بيانات الاعتماد المصرفية ومعلومات تحديد الهوية الشخصية لشن هجمات الهندسة الاجتماعية وإنشاء حسابات مصرفية مزيفة.
  • تسمح البرامج الضارة للجهات الفاعلة في مجال التهديد بتنفيذ معاملات غير مصرح بها عن طريق الوصول إلى OTPs أو رموز التحقق عبر إعادة توجيه الرسائل القصيرة.
  • إجراء حملات توعية وبرامج تدريبية للعملاء والموظفين.
  • راقب النطاقات المزيفة وقم بإزالتها.
كلاود سيككشف فريق TRIAD التابع لـ TRIAD عن حصان طروادة مصرفي، مع طريقة عمل مرتجلة، حيث يستضيف ممثل التهديد أو مجموعة من الجهات الفاعلة في مجال التهديد بوابة شكاوى بسيطة عبر الإنترنت تحتوي على نطاقات مثل شكوى عبر الإنترنت [.] com أو شكوى العملاء [.] com واستهدف عملاء البنوك الهندية. لقد وجد فريق البحث لدينا نطاقات متعددة بناءً على نفس طريقة العمل ولديها قوالب متطابقة. يسرد الجدول أدناه المجالات التي تم اكتشافها أثناء التحقيق الذي أجريناه. الدومينسجل WHOISالتحقق الآمن من الحساب [.] com (online-compalit.accountsecureverify.com) تاريخ الإنشاء: 2022-01-31 تاريخ التحديث: 2022-01-31 شارع المسجل: 2155 إي طريق وارنر مدينة المسجل: تيمبي الولاية/المقاطعة المسجلة: أريزونا الرمز البريدي للمسجل: 85284 بلد التسجيل: حسابات الولايات المتحدة الآمنة [.] تاريخ الإنشاء: 2022-02-05 تاريخ التحديث: 2022-02-10 الولاية/المقاطعة المسجلة: Bihar بلد المسجل: في شكوى عبر الإنترنت [.] تاريخ الإنشاء: 2022-04-27 تاريخ التحديث: 2022-05-11 شارع المسجل: 2155 إي طريق وارنر مدينة المسجل: تيمبي الولاية/المقاطعة المسجلة: أريزونا الرمز البريدي للمسجل: 85284 شكوى العميل [.] COM تاريخ الإنشاء: 2022-05-25 تاريخ التحديث: 2022-05-29 المدينة المسجلة: علاء أباد اسم المسجل: البريد الإلكتروني للمسجل: هاتف المسجل: ريجيرتانت ستريت EC 128 بلد التسجيل: IN الولاية/المقاطعة المسجلة/ولاية أوتار براديش الرمز البريدي للمسجل: 211008

طريقة العمل

  • يقوم الضحايا بملء المعلومات المصرفية الحساسة مثل رقم البطاقة ورقم CVV وتاريخ انتهاء الصلاحية على بوابة الشكاوى المزيفة.
  • بعد استغلال المعلومات المصرفية، تطبيق دعم العملاء الضار، Customer_Sopport_Srvice.apk، يتم تحميلها على أجهزة الضحايا.
  • لم يتم استخدام أي شعارات أو أسماء للبنوك الهندية في مواقع التصيد هذه، وذلك لتجنب الشك والكشف. علاوة على ذلك، لا يتم استضافة تطبيق دعم العملاء الضار على متجر Google Play أو أي من متاجر تطبيقات الطرف الثالث.
  • يتم استخدام التطبيق الضار لإرسال جميع الرسائل القصيرة الواردة إلى خادم C2 (الأوامر والتحكم)، وهو شكوى عبر الإنترنت [.] com في هذه الحالة.
[معرف التسمية التوضيحية = «المرفق _19679" aligncenter «العرض ="1195"]Phishing website from which the malware gets downloaded موقع التصيد الاحتيالي الذي يتم تنزيل البرامج الضارة منه [/caption]

التحليل والإسناد

ميزات البرامج الضارة

الوظيفة

بعد إجراء مزيد من التحليل، تم اكتشاف أن الدور الرئيسي لحصان طروادة المصرفي هو إعادة توجيه جميع الرسائل القصيرة من أجهزة الضحايا إلى خادم C2.

آلية التسليم

  • تخدع الجهات الفاعلة في مجال التهديد الضحية لتقديم شكاواها بشأن «فشل المعاملات» على النطاقات شكوى عبر الإنترنت [.] com و شكوى العملاء [.] com، تم إنشاؤها في أبريل 2022 ومايو 2022 على التوالي.
  • يتم استخدام المجالات المذكورة أعلاه من قبل الجهات الفاعلة في مجال التهديد لاستضافة مواقع الاحتيال المزيفة لشكاوى دعم العملاء.
  • يجب على الضحايا إدخال نوع الشكوى إلى جانب المعلومات المصرفية الحساسة الأخرى مثل رقم البطاقة ورقم CVV وتاريخ انتهاء الصلاحية، للحصول على «استرداد» لـ «المعاملة الفاشلة».
  • عند تقديم التفاصيل المذكورة أعلاه، التطبيق الضار،»Customer_Sopport_Service.apk«، يتم تنزيله على أجهزة الضحايا.

الأذونات والتنفيذ

  • قام فريق البحث في CloudSek بتحليل التطبيق الضار على كن فيجيل، أول محرك بحث أمني في العالم لتطبيقات الهاتف المحمول. يمكن العثور على تقرير BeVigil الخاص بالتطبيق الضار هنا.
  • يمكن تلخيص نتائج BeVigil للتطبيق على النحو التالي:
  • يطلب التطبيق الضار الإذن لـ قراءة، إرسال، و يستلم الرسائل القصيرة بعد التثبيت الأول.
  • يمكن أن يقرأ حصان طروادة أيضًا أرقام الاتصال على جهاز الضحية.
[معرف التسمية التوضيحية = «المرفق _19680" aligncenter» العرض = «694"]Permissions of the malicious application أذونات التطبيق الضار [/caption]

تحليل الكود المصدري

  • بعد تثبيت البرامج الضارة على أجهزة الضحايا، سيتم التحقق من ذلك استقبال الرسائل القصيرة، قراءة الرسائل القصيرة، و إرسال_الرسائل القصيرة أذونات.
[معرف التسمية التوضيحية = «المرفق _19681" aligncenter «العرض ="1101"]SMS Forwarding Malware checking permission for receiving, reading, and sending SMS التحقق من إذن البرامج الضارة لتلقي الرسائل القصيرة وقراءتها وإرسالها [/caption]
  • ال مساعد التشغيل التلقائي () تستدعي الطريقة البرامج الضارة لتشغيلها في الخلفية بعد التشغيل/التثبيت على الأجهزة. يوضح الكود التالي أنه بعد بدء تشغيل البرامج الضارة يمكن أن تعمل على الأجهزة من مختلف الشركات المصنعة.
[معرف التسمية التوضيحية = «المرفق _19682" aligncenter «العرض = «1373"]Code Snippet of the AutoStartHelper() function مقتطف الشفرة الخاص بوظيفة AutoStartHelper () [/caption]
  • ال sرسالة النهاية () ترسل الطريقة الرسائل القصيرة من الأجهزة الضحية إلى خادم C2 (الأوامر والتحكم).
[معرف التسمية التوضيحية = «المرفق _19683" aligncenter «العرض ="1521"]Code Snippet of the sendMessage() function مقتطف الشفرة لوظيفة sendMessage () [/caption]
  • الواجهة واجهة برمجة التطبيقات الخاصة بي () يساعد البرامج الضارة على سرقة الرسائل القصيرة من الأجهزة الضحية إلى واجهة برمجة تطبيقات نقطة النهاية لخادم C2 (الأوامر والتحكم).
[معرف التسمية التوضيحية = «المرفق _19684" aligncenter «العرض = «727"]Code Snippet of the MyApi() interface مقتطف الشفرة لواجهة myAPI () [/caption]

معلومات من OSINT

  • أثناء تنفيذ الذكاء مفتوح المصدر (OSINT) على عنوان IP 148.72.158.61 لخادم الويب الخاص بالمجال شكوى عبر الإنترنت [.] com، وهو أيضًا خادم C2 (الأوامر والتحكم) للتطبيق الضار، اكتشف فريق البحث لدينا مواقع ويب أخرى تنفذ عمليات احتيال مماثلة. يسرد الجدول أدناه المجالات المماثلة التي تم اكتشافها أثناء التحقيق الذي أجريناه.
نطاقات مشابهةشكوى عبر الإنترنت [.] حساب آمن تحقق [.] comsecure accounts [.] في شكوى العميل [.] com
  • استنادًا إلى سجلات السجلات السلبية، تم أيضًا الاتصال بعنوان IP المذكور أعلاه من قبل أنواع أخرى مماثلة من أحصنة طروادة المصرفية منذ مارس 2022.
[معرف التسمية التوضيحية = «المرفق _19685" aligncenter «العرض ="813"]Banking trojans which contacted the given IP address أحصنة طروادة المصرفية التي اتصلت بعنوان IP المحدد [/caption]

التأثير والتخفيف

التأثيرالتخفيف
  • ستكتسب الجهات الفاعلة في مجال التهديد معلومات مصرفية حساسة قد تؤدي إلى خسارة مالية.
  • ستساعد البرامج الضارة الجهات الفاعلة في التهديد في الحصول على معلومات حساسة أخرى مثل رموز التحقق OTP أو 2FA عبر إعادة توجيه الرسائل القصيرة.
  • يمكن استخدام المعلومات الحساسة التي تم جمعها من قبل الجهات الفاعلة في مجال التهديد لشن هجمات الهندسة الاجتماعية الناجحة ضد الضحية.
  • هذا النوع من الحملات المنتحلة له أيضًا تأثير سلبي على قيمة وسمعة أي كيان أو منظمة مستهدفة.
  • إنشاء المزيد من حملات التوعية والبرامج التدريبية لكل من العملاء والموظفين الداخليين، وتثقيفهم بشأن مثل هذه الحملات المستهدفة حديثًا.
  • راقب النطاقات المزيفة بشكل استباقي وقم بإزالة هذه النطاقات المشتبه بها قبل أن تتسبب في مزيد من الضرر.
  • تثقيف المستهلكين حول استخدام أي منتج أو خدمة يقدمها أي كيان معين.

مؤشرات التسوية (IOCs)

الملفات التي تم الحصول عليهاCustomer_Sopport_Service.apkشا25653c185090a170800 ceb525 ccb1b798603428766رابطhxxp: //شكوى عبر الإنترنت [.] com/controllerhxxp: //شكوى عبر الإنترنت [.] com/controller/apihxxp: //شكوى عبر الإنترنت [.] com/controller/api/commonبروتوكول IPv4148.72.158.61الدومينشكوى عبر الإنترنت [.] حساب آمن تحقق [.] comsecure accounts [.] في شكوى العميل [.] com

المراجع

الملحق

[معرف التسمية التوضيحية = «المرفق _19686" align= «aligncenter» width="662"]Screenshot of the contents of an internal directory of online-complaint[.]com لقطة شاشة لمحتويات دليل داخلي للشكوى عبر الإنترنت [.] com [/caption] [معرف التسمية التوضيحية = «المرفق _19687" aligncenter «العرض = «1067"]Screenshot of the contents of an internal directory of online-complaint[.]com لقطة شاشة لمحتويات دليل داخلي للشكوى عبر الإنترنت [.] com [/caption] [معرف التسمية التوضيحية = «المرفق _19688" aligncenter «العرض ="683"]Screenshot of the contents of an internal directory of online-complaint[.]com لقطة شاشة لمحتويات دليل داخلي للشكوى عبر الإنترنت [.] com [/caption] [معرف التسمية التوضيحية = «المرفق _19689" aligncenter «العرض ="1195"]Screenshot of the message being displayed upon submitting a complaint on online-complaint[.]com لقطة شاشة للرسالة التي يتم عرضها عند تقديم شكوى على الشكوى عبر الإنترنت [.] com [/caption]
CloudSEK Platform is a no-code platform that powers our products with predictive threat analytic capabilities.
Recent Posts

Recent Articles

مطالبة Cowin بتسريب البيانات وتحليل CloudSek
June 12, 2023
تدعي شركة Anonymous Sudan الإزالة الناجحة لأول موقع وتطبيق لبنك أبو ظبي عبر هجمات DDoS
May 29, 2023

Get Global Threat Intelligence on Real Time

Protect your business from cyber threats with real-time global threat intelligence data.. 30-day free and No Commitment Trial.
جدولة عرض تجريبي
Real time Threat Intelligence Data
More information and context about Underground Chatter
On-Demand Research Services
Dashboard mockup
Global Threat Intelligence Feed

Protect and proceed with Actionable Intelligence

The Global Cyber Threat Intelligence Feed is an innovative platform that gathers information from various sources to help businesses and organizations stay ahead of potential cyber-attacks. This feed provides real-time updates on cyber threats, including malware, phishing scams, and other forms of cybercrime.
Trusted by 400+ Top organisations
Get started
Learn more