شرح کلی
نوع: بدافزار درب پشتی (Backdoor)
اسامی بدافزار:
Backdoor.Android.PhantomLance.A
درجه تخریب: متوسط
میزان شیوع: متوسط
بدافزار درب پشتی (Backdoor) چیست؟
بدافزارهای درب پشتی (Backdoor) برنامههایی هستند که امکان دور زدن مکانیزمهای امنیتی یک سیستم را به هکرها داده و منابع مختلفی از آن سیستم را از راه مربوطه در اختیار نفوذگران قرار میدهند. هکرها میتوانند با استفاده از این روش بدون نیاز به اعتبار سنجی وارد سیستم مورد نظر شده و از تغییر نام کاربری و رمز عبور نگرانی نداشته باشند. بدافزارهای درب پشتی اشکال مختلفی دارند که هکرها بنابر اهداف خود از نفوذ به منابع یک سیستم، از آنها استفاده میکنند.
توضیحات فنی
برنامه “Browser Turbo” بدافزاری از خانواده Backdoor میباشد. این بدافزار به نام “PhantomLance” نیز شناخته میشود و اولین نمونه از این خانواده بدافزاری در دسامبر ۲۰۱۵ ثبت شده است. عملکرد این خانواده از بدافزارها به این صورت است که اغلب مجوزهای دسترسی خطرناکی که لازم دارند را در فایل Manifest برنامه خود قرار نمیدهند و در حین اجرای برنامه و هر زمانی که به آنها نیاز پیدا کنند، با بهکارگیری تکنیک خاصی به آن دسترسی پیدا کرده و به این ترتیب به اهداف خرابکارانه خود که اغلب دزدی اطلاعات از گوشی کاربران است، دست مییابند. همچنین، از این راه میتوانند فیلترهای امنیتی و مارکتهای مختلف اپلیکیشنهای اندرویدی را دور بزنند.
برنامه”Browser Turbo” (نسخه ۱) از مجموعه بدافزارهای “PhantomLance” است که در ظاهر یک پاکساز مروگر است اما در قسمت اجرایی، برنامه آیکون خود را پنهان کرده و اطلاعات محرمانهای مثل موقعیت مکانی، پیامهای متنی، لیست تماسها، اطلاعات مربوط به حافظه، لیست برنامههای نصب شده و اطلاعات کامل گوشی را از کاربر جمع آوری و به سرور آلوده خود ارسال میکند. این برنامه به راحتی و بدون دخالت کاربر با استفاده از تکنیک “SetUidMode“ مجوزهای لازم را به صورت RunTimePermission (درخواست مجوز در زمان مورد نیاز برنامه) دریافت میکند.
تکنیک “SetUidMode“: رابط برنامهنویسی نامعتبری است که برنامه با استفاده از آن مجوزهای لازم را دریافت میکند. به منظور اجرای صحیح، نیاز به دسترسی روت دارد و اولین قدم برای اجرای یک دستور روت، اطمینان از روت بودن و یا نبودن دستگاه است که در این قسمت از برنامه با استفاده از دستورات زیر روت بودن یا نبودن گوشی بررسی میشود و در صورت روت بودن دستگاه، مقدار True برگردانده میشود. این برنامه در ابتدا لیستی از مجوزهای برنامه را دریافت و ذخیره میکند. سپس طبق شرطی آنها را چک کرده و اگر برابر با Null باشند (یعنی هیچ مجوزی نداشته باشد) مجوزهای زیر را به برنامه اختصاص میدهد (با استفاده از تکنیک “SetUidMode“ مجوزهای جامع و خطرناک زیر را دریافت میکند):
۱- “android.permission-group.SMS“:
برنامه میتواند از سرویسهای SMS و MMS گوشی استفاده کند؛ به این ترتیب قادر به دریافت SMS و WAP، خواندن، ویرایش و ارسال SMS و MMS میباشد که هزینهای را برای کاربر به دنبال خواهد داشت. اگر این مجوز را دریافت کرده باشد، از این طریق اجازه کسب مجوز “android.permission.READ_SMS” را پیدا میکند.
۲- “android.permission-group.MICROPHONE“:
برنامه قادر به استفاده از میکروفون گوشی است و میتواند از آن برای ضبط کردن صدا استفاده کند و این کار نیز با اجازه یا بدون اجازه کاربر صورت میپذیرد. اگر این مجوز را دریافت کرده باشد، از این طریق اجازه کسب مجوز “android.permission.RECORD_AUDIO” را نیز پیدا میکند.
۳- “android.permission-group.STORAGE“:
برنامه میتواند از فایلهای موجود در گوشی استفاده کند. این قابلیت شامل خواندن و نوشتن در حافظه خارجی (SDcard) و حافظه USB است و همچنین میتواند حافظه خارجی را فرمت کند. این مجوز با خواندن فضای ذخیره سازی خارجی در گوشیهای جدیدتر سر و کار دارد. اگر این مجوز را دریافت کرده باشد، از این طریق اجازه کسب مجوزهای “android.permission.READ_EXTERNAL_STORAGE” و “android.permission.WRITE_EXTERNAL_STORAGE” را پیدا میکند.
۴- “android.permission-group.LOCATION“:
برنامه با استفاده از تنظیمات تقریبی یا دقیق قادر به استفاده از اطلاعات موقعیت گوشی خواهد بود. در صورت استفاده از گزینه تقریبی، برنامه اطلاعات موقعیت گوشی را از شبکه دریافت میکند. درحالی که در گزینه دقیق، برنامه از سیستم GPS گوشی و شبکه برای تشخیص موقعیت گوشی بهره میگیرد. برای این کار مجوز به برنامه اجازه میدهد تا به کامندهای اضافه ارائه دهنده موقعیت و GPS دسترسی پیدا کند. اگر این مجوز را دریافت کرده باشد، از این طریق اجازه کسب مجوزهای “android.permission.ACCESS_FINE_LOCATION” و “android.permission.ACCESS_COARSE_LOCATION” را پیدا میکند.
۵- “android.permission-group.CAMERA“:
برنامه میتواند عکس گرفته یا ویدیو ضبط کند و این کار با آگاهی و یا حتی بدون اجازه کاربر صورت میپذیرد. اگر این مجوز را دریافت کرده باشد، از این طریق اجازه کسب مجوز “android.permission.CAMERA” را پیدا میکند.
۶- “android.permission-group.CALL_LOG“:
این مجوز برنامه را قادر میسازد به مجوزهایی که مربوط به بخش “تنظیمات تلفن” هستند دسترسی داشته باشد. در واقع تنظیماتی که میتوانیم تغییر دهد شامل حالتهای انتقال تماس در صورت مشغول بودن خط، انتقال تماس در صورت عدم پاسخگويي، انتقال تماس در هنگام عدم دسترسي و… هستند. اگر این مجوز را دریافت کرده باشد، از این طریق اجازه کسب مجوز “permission.READ_CALL_LOG” را پیدا میکند.
۷- “android.permission-group.CALENDAR“:
این مجوز برنامه را قادر به دسترسی به تقویم و رویدادهای کاربر میکند، حتی اگر شامل اطلاعات محرمانهای باشند. برنامه با این مجوز قادر به ساخت رویدادها و ارسال ایمیل به مهمانان بدون اطلاع کاربر است که میتواند در برخی از شرایط خطرناک باشد. اگر این مجوز را دریافت کرده باشد، از این طریق اجازه کسب مجوزهای “android.permission.READ_CALENDAR” و “android.permission.WRITE_CALENDAR” را پیدا میکند.
۸- “android.permission-group.PHONE“:
برنامه به شمارههای تماس دسترسی مستقیم دارد و میتواند لاگ تماسها را خوانده و یا اطلاعاتی را در آنجا ثبت کند، وضعیت گوشی را تغییر دهد و بدون اطلاع کاربر تماس برقرار کند. مشابه مجوز SMS، این بخش نیز هزینهبر خواهد بود. این مجوز با تمامی قسمتهایی که با امکانات تلفنی گوشی مرتبط هستند سر و کار دارد. اگر این مجوز را دریافت کرده باشد، از این طریق اجازه کسب مجوز “android.permission.READ_PHONE_STATE”را پیدا میکند.
۹- “android.permission-group.CONTACTS“:
این مجوز مشابه مجوز قبلی است، با این تفاوت که این مجوز تنها به مخاطبین ذخیره شده در گوشی دسترسی دارد و میتواند آنها را بخواند و یا تغییر دهد. اگر این مجوز را دریافت کرده باشد، از این طریق اجازه کسب مجوزهای “android.permission.READ_CONTACTS” و “android.permission.GET_ACCOUNTS” را پیدا میکند.
اطلاعاتی که این برنامه از گوشی کاربر جمع میکند:
- ابتدا دسترسی کامل به حافظه را گرفته و سپس با استفاده از متد totalMem اطلاعات کاملی از حافظه گوشی کاربر مانند RAM ,cpu و بافر، میزان حافظه مصرفی و میزان فضای خالی و اطلاعات موجود در آن را دریافت میکند.
- دسترسی به موقعیت کاربر بر اساس اتصال به اینترنت یا GPS که آن را هر ۱۵ دقیقه یک بار چک کرده و آپدیت نگه میدارد.
- دسترسی به آخرین مکانی که کاربر در آن حضور داشته است.
- با استفاده از (“getSystemService(“phone به اطلاعات محرمانه گوشی کاربر از جمله شناسه منحصر به فرد دستگاه دسترسی پیدا میکند.
روش مقابله و پاکسازی سیستم
برای اطمینان خاطر از عدم آلودگی دستگاه، آنتیویروس پادویش را نصب و فایل پایگاه داده آن را بهروز نگه دارید و اسکن آنتیویروس را انجام دهید.
روشهای پیشگیری از آلوده شدن گوشی:
۱. از دانلود و نصب برنامه از منابع و مارکتهای موبایلی نامعتبر خودداری کنید.
۲. هنگام نصب برنامههای موبایلی به مجوزهای درخواستی دقت کنید.
۳. از فایلها و اطلاعات ذخیره شده در گوشی پشتیبانگیری مداوم انجام دهید.
۴. از نسخههای غیررسمی برنامهها استفاده نکنید. برنامههایی مانند تلگرام و اینستاگرام نسخههای غیررسمی زیادی دارند و بیشتر آنها از طریق کانالهای تلگرامی انتشار مییابند.