“پی فااو پس از فراز و نشیب های زیادی که از ابتدای کارش پشت سر گذاشته است، در حال حاضر در مسیر رشد و پیشرفت قرار دارد. اما در این مسیر با مشکلات بی شماری مواجه شده است که با تکیه بر تجربه مدیران و بهره گیری از دانش کارشناسان حرفه ای سعی در رفع آنها داشته و در این مسیر بر مشکلات فائق آمده است. به همین دلیل، پیفا با مشکل غریبه نیست. زیرا همیشه افرادی هستند که به قطارهای در حال حرکت سنگ پرتاب می کنند و مانعی برای پیشرفت خواهند بود.
این بار کلاهبرداران با جعل اپلیکیشن پی پال سعی در سوء استفاده از کاربران و سرقت اطلاعات کارت بانکی آنها دارند. با سوء استفاده از نام و هویت PayPal، مهاجمان سعی می کنند حملات فیشینگ را انجام دهند و اطلاعات کاربران را با بدافزارهای موجود به سرقت ببرند. PFA این اقدام جنایتکارانه را محکوم می کند و نگران مشکلاتی است که این برنامه جعلی برای برخی از کاربران بی خبر ایجاد می کند.
کاربران باید توجه داشته باشند که PFA در حال حاضر اپلیکیشنی برای سیستم عامل های iOS و اندروید ندارد و تنها مرجع معتبر این سایت است. payfa از دامنه های (payfa.ir) و (payfa.com) خب PFA قبلا در اطلاعیه های رسمی خود اعلام کرده بود که هیچ اپلیکیشنی ندارد و مسئولیتی در قبال سوء استفاده های احتمالی نخواهد داشت.
تجزیه و تحلیل بدافزار (دریافت پول) با نماد Pfa
بدافزاری به نام «پرداخت دریافت شده» با سوء استفاده از نماد Pfa برای فریب کاربران برای سرقت اطلاعات بانکی آنها ایجاد شد. این روزها برنامه “دریافت پول” در کانال هایی تحت عنوان “افزودن به حساب و پرداخت پول” با تکنیک بازاریابی ویروسی همراه است. این اقدام از دید سازمان دفاع مقدس دور نماند و وی به سرعت با این اقدام برخورد کرد. در ادامه تیم فنی پیفا با استفاده از تکنیک مهندسی معکوس تجزیه و تحلیل فنی این بدافزار را شرح می دهد.
بدافزار چگونه کار می کند (دریافت پول)
پس از نصب و راه اندازی، این بدافزار ابتدا به ارسال و خواندن SMS از کاربر دسترسی پیدا می کند. سپس شماره موبایل قربانی را دریافت کرده و آن را به سرور اختصاصی خود در فایل Request.php ارسال می کند.
https://exXXeXXs-noXXXs.XX/request.php?phone=09123456789&port=88084&info=install
پس از عبور از صفحه اول، این بدافزار یک صفحه پورتال جعلی را در صفحه اصلی با استفاده از مؤلفه WebView نمایش می دهد. این صفحه پورتال برای گمراه کردن کاربران درست مانند صفحه Nation Pay شبیه سازی شده است. تصاویر منتشر شده از این اپلیکیشن نشان می دهد که صفحات جعلی به خوبی پیاده سازی شده و زمین برای فریب کاربران آماده است.
قربانی پس از مشاهده این صفحات، اطلاعات کارت بانکی خود را وارد می کند. این اطلاعات از سرور بدافزار درخواستی یک درگاه پرداخت (تأیید نشده و نامعتبر) به دست آمده است. در این مرحله پیامک بانکی حاوی رمز پویا از طریق تابع (onReceive) کلاس (BroadcastReceiver) به سرور بدافزار ارسال می شود.
بدافزار پیام های متنی دریافت شده توسط قربانی را کنترل می کند. هنگامی که قربانی پیام متنی حاوی رمز عبور پویا را دریافت می کند، بدافزار آن را نیز ردیابی می کند. در این مرحله، صاحب بدافزار به اطلاعات کارت قربانی و رمز عبور پویا دسترسی دارد. مراحل بعدی این بدافزار جعلی قابل مشاهده است.
1_ بررسی کدهای مخرب
2-MainActivity.java
- برای استفاده از سرویس پیام کوتاه مجوز دریافت کنید
- تایید شماره موبایل ورودی
- ثبت شماره موبایل قربانی در سرور بدافزار
- قربانی را به MainActivity2 منتقل کنید
3-MainActivity2.java
نمایش صفحه پرداخت جعلی
shapark.XXX/Ads/?e=88084&P=Mellat
4-connect.java
ارسال اطلاعات شما به سرور بدافزار (شماره موبایل، پیامک)
5-MyReceiver.java
شنود پیامک و ارسال متن PBAMAC به کلاس (اتصال) برای ارسال به سرور بدافزار
در پایان لازم به ذکر است که PFA به کاربران در مورد استفاده از اپلیکیشن های غیرمجاز و جعلی هشدار می دهد و از آنها می خواهد که از نصب و اجرای اپلیکیشن های مشکوک بر روی تلفن همراه خود خودداری کنند. همچنین این شرکت تاکید می کند که مسئولیتی در قبال خطرات احتمالی ناشی از سوء استفاده از نام پیفا ندارد و برنامه های خود را از طریق منابع رسمی و موثق خود به اطلاع عموم می رساند.
استفاده از نام و هویت PFA بدون اطلاع قبلی از این شرکت، عمل مجرمانه است و افرادی که از نام این شرکت به قصد کلاهبرداری و کلاهبرداری سوء استفاده کنند، تحت پیگرد قانونی قرار خواهند گرفت.
