מי תוקף בסייבר בנקים איראניים?

קמפיין טרויאני לבנקאות סלולרית במכשירים מבוססי אנדרואיד, שמכוון לבנקים גדולים באיראן ולקוחותיהם, מוסיף ומתרחב – כך חשפו חוקרי זימפריום, הישראלית במקורה.

החוקרים גילו את הנוזקה ביולי השנה. לדבריהם, מאז, מסע המתקפות "לא רק ממשיך, אלא הוא אף התפתח, עם יכולות תקיפה משופרות".

חקירה קודמת של החברה זיהתה ארבעה אשכולות של אפליקציות שקוצרות אישורי גישה מזויפים, שפעלו נגד בנקים איראניים גדולים – בנק מלאת, בנק סדראת, ריסלט בנק והבנק המרכזי של איראן. האפליקציות הללו הופעלו בין דצמבר 2022 למאי 2023. הן עלולות לגנוב אישורי כניסה לחשבונות בנקאיים ופרטי כרטיסי אשראי, ומסוגלות להסתיר את סמלי האפליקציות, כדי למנוע הסרה שלהן, כמו גם למנוע יכולת ליירט את הסיסמאות המוגבלות בזמן (סיסמה חד פעמית, OTP), שנשלחות ב-SMS, לטובת כניסה לחשבונות הללו.

לפי הממצאים האחרונים, שפורסמו השבוע, המתקפות הורחבו והן מטרגטות כעת לא רק בנקים, כי אם גם ארגונים אחרים באיראן. החוקרים זיהו 245 גרסאות חדשות של האפליקציות, שקשורות לאותם גורמי איום. הם ציינו ש-28 מהגרסאות הללו לא מזוהות על ידי כלי אבטחה שעורכים סריקה שלהן.

האם ההאקרים מכוונים לקריפטו?

"הגרסאות החדשות של האפליקציות", על פי חוקרי זימפריום, "מרחיבות את טווח הפגיעה של הקמפיין. הן מכוונות לבנקים נוספים וחושפות את שאיפותיהם של שחקני האיום להתרחב עוד יותר. הנוזקה מצביעה גם על העניין של שחקני האיום באיסוף מידע על יישומי ארנקים קריפטוגרפיים שונים – מה שעשוי להצביע על כיוון הפעולה העתידי של ההאקרים".

עוד גילו החוקרים כי לנוזקה יש יכולות פעולה בסתר, בלי להיחשף; ניצול לרעה של שירותי נגישות לטובת ביצוע מתקפות כוללות ונרחבות; הענקה אוטומטית של הרשאות SMS; מניעת הסרת התקנה; ושיטות חילוץ נתונים באמצעות מאגרי גיטהאב. המחקר מדגיש כי נערכו מתקפות ספציפיות על בעלים של מכשירי שיאומי וסמסונג, אולם ההאקרים "מתעניינים" גם בבעלי מכשירי iOS.

החוקרים לא ציינו – לא במישרין ולא במרומז – את זהות המפתחים שפיתחו את הנוזקות האלה ולא את זהות ההאקרים שהשתמשו בהן. הם ציינו כי "נראה שנוזקות מודרניות הופכות מתוחכמות יותר, והמטרות מתרחבות, כך שהנראות וההגנה בזמן ההפעלה שלהן הינן פעולות חיוניות עבור יישומים ניידים".

זימפריום נוסדה ב-2010 על ידי היזמים הישראליים יצחק אברהם ואליה יהודה. ב-2012, קווין מיטניק, שהיה ההאקר המבוקש ביותר בארצות הברית בשנות ה-90', הצטרף אליה כחבר דירקטוריון. החברה ניהלה את הפיתוח מישראל, אבל בשנים האחרונות צמצמה משמעותית את הפעילות שלה בארץ, ופועלת בארצות הברית. מאז הקמתה גייסה זימפריום כ-70 מיליון דולר. במרץ אשתקד היא נרכשה על ידי הקרן האמריקנית ליברטי סטרטג'יק קפיטל תמורת 525 מיליון דולר. בראש הקרן הרוכשת עומד סטיבן מנוצ'ין (מנוחין), שהיה שר האוצר בממשל טראמפ, והוא מפיק של לא מעט סרטים.