کلاهبرداران سایبری در کمین کاربران پی فا

“پی فا” یکی از مجموعه‌هایی است که در سال 1399 تاسیس شد و فعالیت خود را در زمینه درگاه پرداخت و مدیریت مالی آغاز کرد. این شرکت علی‌رغم مشکلاتی که داشت، با تکیه بر تجربه‌ مدیران و استفاده از علم کارشناسان حرفه‌ای خود موفق شد در مسیر پیشرفت قرار بگیرد و شهرتی کسب کند. این اعتبار و شهرت باعث شد تا کلاهبرداران در کمین مشتریان و کاربران این شرکت قرار بگیرند و اقداماتی را برای سوءاستفاده انجام دهند.

یکی از جدیدترین ترفندها که کلاهبرداران و مجرمان سایبری برای فریب قربانیان در فضای اینترنت از آن استفاده می‌کنند، جعل اپلیکیشن است. به تازگی اعلام شده که یک اپلیکیشن با جعل نام و هویت بصری پی فا برای دزدی و کلاهبرداری در دسترس مردم، قرار گرفته است. این اپلیکیشن بر روی گوشی همراه نصب می‌شود و برای حملات فیشینگ کاربرد دارد.

پی فا بر طبق جدیدترین بیانیه خود، اعلام می‌کند که هیچ اپلیکیشنی ندارد و تنها راه ارتباطی که با کاربران خود دارد، سایت (payfa.ir) و (payfa.com) است. همچنین به کاربران خود هشدار می‌دهد که اپلیکیشن‌های جعلی و تقلبی را از منابع نامعتبر دریافت نکنند و از نصب برنامه‌ها مشکوک روی گوشی‌های همراه پرهیز کنند.

اپلیکیشن جعلی با هویت بصری پی فا

بر طبق گزارش‌ها یک برنامه با آیکون و نماد پی فا در کانال‌های تلگرامی دست‌به‌دست می‌شود. این برنامه که به منظور سرقت اطلاعات بانکی کاربران کاربرد دارد، به نام “دریافت وجه” معرفی شده است. این اپلیکیشن جعلی اولین بار در گروه‌هایی که در برابر دریافت عضو پول پرداخت می‌کنند، دیده شد. این کار مجرمانه از دید پی‌ فا دور نمانده و رسیدگی به آن را در دستور کار خود قرار داده است. نحوه کلاهبرداری توسط این اپلیکیشن بدافزار را با استفاده از تکنیک مهندسی معکوس بررسی کرده‌ایم که در ادامه به توضیح آن می‌پردازیم.

چگونگی عمکرد بدافزار

مرحله اول بعد از نصب این بدافزار بر روی گوشی، فعالسازی دسترسی ارسال و دریافتsms  است. این اقدام برای دسترسی به پیامک رمزپویا است که توسط بانک به شماره قربانی ارسال می‌شود.

در واقع بعد از نصب برنامه و ورود شماره موبایل، بدافزار به سرور خود فایل Request.php را ارسال می‌کند.

exXXeXXs-noXXXs.XX/request.php?phone=09123456789&port=88084&info=install

در مرحله بعد با استفاده از کامپوننت (WebView) یک صفحه ایجاد شده که دقیقا مشابه با صفحه «به‌پرداخت ملت» است. این صفحه می‌تواند به راحتی باعث فریب کاربر شود تا اطلاعات کارت بانکی را در صفحه وارد کند. این کار برای فیشینگ و سرقت اطلاعات و موجودی کارت بانکی انجام می‌شود.

کافی است تا قربانی اطلاعات کارت بانکی خود را در این صفحه وارد کند؛ سپس این اطلاعات توسط سرور بد افزار درخواستی بر روی یک درگاه نامعتبر انتقال پیدا می‌کند. بعد از آن پیامک بانک حاوی رمز پویا، با استفاده از تابع (onReceive) کلاس (BroadcastReceiver) به سرور بد‌افزار ارسال می‌شود.

با توجه به اینکه دسترسی ارسال و دریافت پیام به بدافزار داده شده است، هر زمان که پیامک حاوی رمز کارت بانک برای قربانی ارسال شود، بدافزار آن را ذخیره می‌کند. دسترسی بدافزار و در نتیجه فرد کلاهبردار به کارت بانکی بعد از این مرحله ایجاد می‌شود. در ادامه بصورت تصویری مراحل انجام این کار را قرار داده‌ایم.

1_ بررسی کد بدافزار

2_

MainActivity.java

• دریافت مجوز استفاده از سرویس SMS
• بررسی شماره موبایل ورودی
• ثبت شماره موبایل قربانی در سرور بد افزار
• انتقال قربانی به MainActivity2

3-

MainActivity2.java

نمایش صفحه جعلی پرداخت

https://xsl- shapark.XXX/Ads/?e=88084&P=Mellat

4-

connect.java

ارسال اطلاعت به سرور بد افزار (شماره موبایل، پیامک)

5-

MyReceiver.java

شنود پیامک و ارسال متن پیامک به کلاس (connect) جهت ارسال به سرور بد افزار

این اعمال مجرمانه توسط پلیس فتا قابل ردیابی و بررسی است. پی فا در اطلاعیه خود اعلام می‌کند که هرگونه سوءاستفاده از برند و نام  درگاه پرداخت پی‌فا غیرقانونی بوده و این شرکت در صورت مشاهده هرگونه قانون‌شکنی با مجرمان برخورد قاطعانه انجام می‌دهد. همچنین در پایان اضافه می‌کند که هیچ مسئولیتی در قبال کلاهبرداری‌ها و سرقت‌های احتمالی متوجه شرکت نخواهد بود و کاربران باید با آگاهی بیشتری در فضای مجازی فعالیت داشته باشند.