“پی فا” یکی از مجموعههایی است که در سال 1399 تاسیس شد و فعالیت خود را در زمینه درگاه پرداخت و مدیریت مالی آغاز کرد. این شرکت علیرغم مشکلاتی که داشت، با تکیه بر تجربه مدیران و استفاده از علم کارشناسان حرفهای خود موفق شد در مسیر پیشرفت قرار بگیرد و شهرتی کسب کند. این اعتبار و شهرت باعث شد تا کلاهبرداران در کمین مشتریان و کاربران این شرکت قرار بگیرند و اقداماتی را برای سوءاستفاده انجام دهند.
یکی از جدیدترین ترفندها که کلاهبرداران و مجرمان سایبری برای فریب قربانیان در فضای اینترنت از آن استفاده میکنند، جعل اپلیکیشن است. به تازگی اعلام شده که یک اپلیکیشن با جعل نام و هویت بصری پی فا برای دزدی و کلاهبرداری در دسترس مردم، قرار گرفته است. این اپلیکیشن بر روی گوشی همراه نصب میشود و برای حملات فیشینگ کاربرد دارد.
پی فا بر طبق جدیدترین بیانیه خود، اعلام میکند که هیچ اپلیکیشنی ندارد و تنها راه ارتباطی که با کاربران خود دارد، سایت (payfa.ir) و (payfa.com) است. همچنین به کاربران خود هشدار میدهد که اپلیکیشنهای جعلی و تقلبی را از منابع نامعتبر دریافت نکنند و از نصب برنامهها مشکوک روی گوشیهای همراه پرهیز کنند.
اپلیکیشن جعلی با هویت بصری پی فا
بر طبق گزارشها یک برنامه با آیکون و نماد پی فا در کانالهای تلگرامی دستبهدست میشود. این برنامه که به منظور سرقت اطلاعات بانکی کاربران کاربرد دارد، به نام “دریافت وجه” معرفی شده است. این اپلیکیشن جعلی اولین بار در گروههایی که در برابر دریافت عضو پول پرداخت میکنند، دیده شد. این کار مجرمانه از دید پی فا دور نمانده و رسیدگی به آن را در دستور کار خود قرار داده است. نحوه کلاهبرداری توسط این اپلیکیشن بدافزار را با استفاده از تکنیک مهندسی معکوس بررسی کردهایم که در ادامه به توضیح آن میپردازیم.
چگونگی عمکرد بدافزار
مرحله اول بعد از نصب این بدافزار بر روی گوشی، فعالسازی دسترسی ارسال و دریافتsms است. این اقدام برای دسترسی به پیامک رمزپویا است که توسط بانک به شماره قربانی ارسال میشود.
در واقع بعد از نصب برنامه و ورود شماره موبایل، بدافزار به سرور خود فایل Request.php را ارسال میکند.
exXXeXXs-noXXXs.XX/request.php?phone=09123456789&port=88084&info=install
در مرحله بعد با استفاده از کامپوننت (WebView) یک صفحه ایجاد شده که دقیقا مشابه با صفحه «بهپرداخت ملت» است. این صفحه میتواند به راحتی باعث فریب کاربر شود تا اطلاعات کارت بانکی را در صفحه وارد کند. این کار برای فیشینگ و سرقت اطلاعات و موجودی کارت بانکی انجام میشود.
کافی است تا قربانی اطلاعات کارت بانکی خود را در این صفحه وارد کند؛ سپس این اطلاعات توسط سرور بد افزار درخواستی بر روی یک درگاه نامعتبر انتقال پیدا میکند. بعد از آن پیامک بانک حاوی رمز پویا، با استفاده از تابع (onReceive) کلاس (BroadcastReceiver) به سرور بدافزار ارسال میشود.
با توجه به اینکه دسترسی ارسال و دریافت پیام به بدافزار داده شده است، هر زمان که پیامک حاوی رمز کارت بانک برای قربانی ارسال شود، بدافزار آن را ذخیره میکند. دسترسی بدافزار و در نتیجه فرد کلاهبردار به کارت بانکی بعد از این مرحله ایجاد میشود. در ادامه بصورت تصویری مراحل انجام این کار را قرار دادهایم.
1_ بررسی کد بدافزار
2_
MainActivity.java
- دریافت مجوز استفاده از سرویس SMS
- بررسی شماره موبایل ورودی
- ثبت شماره موبایل قربانی در سرور بد افزار
- انتقال قربانی به MainActivity2
3-
MainActivity2.java
نمایش صفحه جعلی پرداخت
https://xsl- shapark.XXX/Ads/?e=88084&P=Mellat
4-
connect.java
ارسال اطلاعت به سرور بد افزار (شماره موبایل، پیامک)
5-
MyReceiver.java
شنود پیامک و ارسال متن پیامک به کلاس (connect) جهت ارسال به سرور بد افزار
این اعمال مجرمانه توسط پلیس فتا قابل ردیابی و بررسی است. پی فا در اطلاعیه خود اعلام میکند که هرگونه سوءاستفاده از برند و نام درگاه پرداخت پیفا غیرقانونی بوده و این شرکت در صورت مشاهده هرگونه قانونشکنی با مجرمان برخورد قاطعانه انجام میدهد. همچنین در پایان اضافه میکند که هیچ مسئولیتی در قبال کلاهبرداریها و سرقتهای احتمالی متوجه شرکت نخواهد بود و کاربران باید با آگاهی بیشتری در فضای مجازی فعالیت داشته باشند.
