Trojan.Android. Basbanke.Mellg

شرح کلی

نوع: تروجان (Trojan)
اسامی بدافزار:
Trojan.Android. Basbanke.Mellg
درجه تخریب: متوسط
میزان شیوع: متوسط

تروجان (Trojan) چیست؟

تروجان‌ها بدافزارهایی هستند که خودشان را در قالب یک ابزار مفید و کاربردی معرفی می‌کنند. کاربر بر همین اساس آنها را دانلود و نصب کرده و بدون اطلاع از بدافزار بودن برنامه دریافت شده، سیستم خود را آلوده می‌کند. تروجان‌ها معمولا پس از نصب در گوشی کاربر، به عنوان یک درب پشتی (Backdoor) برای دسترسی از راه دور هکرها به سیستم قربانی عمل می‌کنند. به عنوان مثال، بدافزاری که در ادامه بررسی می‌شود، به نظر می‌رسد کار مناسب و مفیدی انجام می‌دهد اما یک برنامه ناخواسته را روی سیستم نصب می‌کند.

بدافزار Basbanke چیست؟

این خانواده از بدافزار در واقع Trojanهای بانکی هستند که اطلاعات بانکی مانند شماره کارت، رمز عبور، تاریخ کارت و … را به سرقت می‌برند، اما تنها محدود به این قابلیت نبوده و ممکن است کارهایی مانند ضبط صفحه، دسترسی به پیام کوتاه، دسترسی به اطلاعات مخاطبین گوشی کاربر و ... را نیز انجام دهند.

توضیحات فنی

نام این برنامه “همراه بانک ملت” و در ظاهر برنامه‌ای کاملا شبیه به اپلیکیشن بانک ملت است که در پس زمینه اطلاعات بانکی و دیگر اطلاعات محرمانه کاربر را به سرقت می‌برد. سپس، با برقراری ارتباط با سرور فرماندهی و کنترل (Command and Control) آلوده خود تمامی این اطلاعات حساس و مهم را به آن ارسال می‌کند.

در روال اصلی برنامه:

این برنامه در همان ابتدای نصب با اعلام پیغامی با عنوان “برای کارکرد بهتر همراه بانک لطفا همه دسترسی‌ها را قبول کنید.” کاربر را برای اعطای تمامی مجوزها به برنامه‌اش ترغیب می‌کند که این اولین قدم برای انجام عملیات مخرب مورد نظر بدافزار است.

مجوزهای خطرناکی که این بدافزار دریافت می‌کند شامل:

۱. “android.permission.READ_CONTACTS” (دسترسی به اطلاعات مخاطبین گوشی کاربر)

۲. “android.permission.READ_PHONE_STATE” (دسترسی به اطلاعات گوشی کاربر)

۳. “android.permission.RECEIVE_SMS” (دریافت پیامک)

۴. “android.permission.READ_SMS” (خواندن پیامک‌ها)

۵. “android.permission.CALL_PHONE” (برقراری تماس)

۶. “android.permission.READ_EXTERNAL_STORAGE” (دسترسی به حافظه خارجی(SD card))

این بدافزار در ابتدای فعالیت خود مقادیر ورودی مهمی شامل شماره موبایل، نام کاربری، رمز عبور، شماره کارت، CVV2، سال و ماه انقضای کارت بانکی کاربر را دریافت می‌کند و پس از کلیک بر روی دکمه ورود، اطلاعات وارد شده توسط کاربر را در متغیری ذخیره کرده و در ادامه عملیات مخرب زیر را انجام می‌دهد:

۱. دسترسی به سریال سیم کارت با استفاده از روش ()GetSimSerialNumber

۲. دسترسی به IMEI (شناسه منحصر به فرد دستگاه) با استفاده از روش ()GetDeviceId

۳. دسترسی به IMSI (شناسه منحصر به فرد 15 رقمی مربوط به سیم کارت) با استفاده از روش ()getSubscriberId

۴. دسترسی به شماره تلفن کاربر با استفاده از روش ()getLine1Number

۵. دسترسی به تنظیمات سیستم با استفاده از روش ()GetSettings

۶. دسترسی به وضعیت اتصال به اینترنت با استفاده از روش ()GetDataState

۷. دسترسی به اپراتور ثبت شده فعلی شبکه با استفاده از روش ()GetNetworkOperation

۸. دسترسی به نوع اتصال به شبکه با استفاده از روش ()GetNetworkType

۹. دریافت اپراتور سیم کارت با استفاده از روش ()GetSimOperator

۱۰. دسترسی به لاگ دستگاه با استفاده از “LogCat”:

از کل عملیات انجام شده در گوشی کاربر در فایلی به نام “logcatdata_” در مسیر “/system/bin/logcat” لاگ جمع آوری می‌کند.

۱۱. با تعیین شماره تلفن و متن پیام، به هر شماره دلخواه با استفاده از روش ()sendTextMessage پیامک ارسال می‌کند.

۱۲. با استفاده از روش‌های getManufacturer ،getModel و getProduct اطلاعاتی شامل سازنده، مدل و جزئیات گوشی را به دست می‌آورد.

۱۳. SdkVersion را با استفاده از ()getSdkVersion به دست می‌آورد.

۱۴. امکان تغییر صدای گوشی با استفاده از روش ()SetRingerMode

۱۵. بی‌صدا کردن تلفن با استفاده از روش ()SetMute

همچنین، بدافزار با توجه به تعریف actionهای “android.intent.action.BOOT_COMPLETED” و “android.provider.Telephony.SMS_RECEIVED” در فایل manifest برنامه برای یکی از سرویس‌های برنامه خود، به محض boot گوشی و یا دریافت پیامک، فراخوانی شده و اقدامات مخرب زیر را انجام می‌دهد:

۱. مقادیر زیر را واکشی و در متغیری ذخیره می‌کند:

• با استفاده از روش getDeviceId شناسه IMEI را به دست می‌آورد.
• با استفاده از روش getLine1Number شماره سیم کارت را به دست می‌آورد.
• با استفاده از روش getSimSerialNumber سریال سیم کارت را به دست می‌آورد.
• با استفاده از روش getSubscriberId شناسه IMSI را به دست می‌آورد.

۲. سرویس “WakeLock” که صفحه دستگاه را روشن نگه می‌دارد، برای برنامه‌اش فعال می‌کند.

۳. لیستی از اطلاعات کاربران شامل تعداد تماس‌هایی که با هر یک از کاربران گرفته شده است، آخرین تاریخ برقراری تماس، نام کاربر، شماره، ستاره‌دار بودنشان، شناسه کاربر و عکس‌های ذخیره شده در گوشی کاربر را جمع آوری می‌کند.

۴. با بررسی اقدام “android.provider.Telephony.SMS_RECEIVED”، به محض دریافت پیامک، محتویات پیام (متن پیام و شماره) را واکشی می‌کند.

در نهایت نیز همگی این اطلاعات جمع آوری شده را با استفاده از کتابخانه آماده‌ای به نام Retrofit ( کتابخانه‌ای برای انجام requestهای http در اندروید که امکان بارگذاری فایل‌ها، بررسی و درخواست مجوز و … را فراهم می‌کند) در قالب فایل json به صفحه‌ای به نام “api.php” در سرور فرماندهی و کنترل آلوده خود (hxxps[:]//f**k-iranian-cyber******[.]xyz) ارسال می‌کند.

روش مقابله و پاک‌سازی سیستم

برای اطمینان خاطر از عدم آلودگی دستگاه، آنتی‌ویروس پادویش را نصب و فایل پایگاه داده آن را به‌روز نگه دارید و اسکن آنتی‌ویروس را انجام دهید.

روش‌های پیشگیری از آلوده شدن گوشی:

۱. از دانلود و نصب برنامه از منابع و مارکت‌های موبایلی نامعتبر خودداری کنید.

۲. هنگام نصب برنامه‌های موبایلی، به مجوزهای درخواستی دقت کنید.

۳. از فایل‌ها و اطلاعات ذخیره شده در گوشی پشتیبان‌گیری مداوم انجام دهید.

۴. از نسخه‌های غیررسمی برنامه‌ها استفاده نکنید. برنامه‌هایی مانند تلگرام و اینستاگرام نسخه‌های غیررسمی زیادی دارند و بیشتر آنها از طریق کانال‌های تلگرامی انتشار می‌یابند.