شرح کلی
نوع: تبلیغ افزار (Adware)
درجه تخریب: کم
میزان شیوع: متوسط
تبلیغافزار (Adware) چیست؟
تبلیغافزارها بدافزارهای تبلیغاتی هستند که موجب نمایش تبلیغات یا ظاهر شدن بنرهای متعددی در سیستم شده و شما را تشویق به خرید محصولات یا استفاده از سرویسهای خود میکنند. برنامهنویسان این نوع از بدافزارها، از طریق اضافه کردن کدهای مربوط به سرویسهای ارسال اعلان به برنامههای خود برای نمایش تبلیغات و کسب درآمد بیشتر استفاده میکنند. آنها با قرار دادن برنامههای خود در بازارهای اندرویدی، سعی در ترغیب افراد بیشتری برای استفاده از اپلیکیشنهای خود دارند.
خانواده بدافزاری Notifyer چیست؟
تبلیغ افزار Notifyer در پس زمینه با استفاده از سرویسهای ارسال اعلان، برای کاربر اعلانهای تبلیغاتی نمایش میدهد. در صورت کلیک بر روی هر یک از این اعلانها در تلفن همراه کاربر، صفحات تبلیغاتی در مرورگر باز میشوند.
توضیحات فنی
با استفاده از سرویس ارسال اعلان پوشه و پکیج تبلیغاتی adad، اعلانات و تبلیغات هدفداری را در جهت کسب درآمد و همچنین صفحاتی را در تلگرام و اپلیکیشن بازار به کاربر نمایش میدهد. در اکتیویتی اصلی برنامه، متد initialize وظیفه بررسی ورژن API گوشی کاربر را بر عهده دارد و در صورتی که بزرگتر مساوی مقدار api 9 باشد، پکیج پوشه میتواند بر روی آن اجرا شود. همچنین، نصب بودن سرویس گوگل پلی بر روی گوشی کاربر بررسی میشود تا پکیج پوشه بتواند اجرا و آپدیت شود.
سرویس MyPushListener
این سرویس با اکشن co.ronash.pushe.RECEIVE فراخوانی میشود، یعنی به محض دریافت پیام، پکیج پوشه اجرا میشود. این متد با دو پارامتر ورودی JSON ابتدا بررسی میکند که طول پارامتر ورودی JSON مخالف صفر باشد و سپس نوع پیام را در یک intent قرار میدهد. در صورتی که intent برابر رشته “telegram” باشد، صفحهای در برنامه تلگرام باز میکند، در صورتی که مقدار آن برابر رشته “bazar” باشد، نام پکیج برنامه مورد نظر را در بازار باز میکند و در صورتی که برابر رشته “link” باشد نیز لینک مشخص شده در مرورگر گوشی باز میشود.
اکتیویتی Free
عملکرد کلی این اکتیویتی در جهت نمایش اعلانات برای تبلیغ برنامههای مورد نظر به کاربر میباشد. در متد onCreate آن، ابتدا کتابخانه Pushbots مقداردهی اولیه میشود. به این ترتیب که ابتدا با فراخوانی متد init که در آن نسخه sdk برنامه (اگر نسخه sdk بزرگتر از ۸ باشد کتابخانه Pushbots قابل اجرا میباشد)، وجود پکیج برنامه Google Services Framework (این برنامه انواع خدمات ارتباطی گوگل مانند cloud messaging را مدیریت میکند) و داشتن مجوزهای لازم برای اجرای این کتابخانه (android.permission.INTERNET ،android.permission.ACCESS_NETWORK_STATE و android.permission.WAKE_LOCK) بررسی میشود. در صورت برقراری شروط ذکر شده و در صورتی که سرویس Push فعال باشد، اطلاعات گوشی کاربر مانند موارد زیر جهت ثبت در Pushbots جمع آوری خواهند شد:
- متد getUDID: مقدار android_id
- متد TimeZone.getDefault().getID: آیدی منطقه زمانی
- متد getNetworkOperatorName: نوع اپراتور شبکه
- Build.VERSION.RELEASE: نوع ورژن سیستم عامل
- Build.MODEL: مدل گوشی کاربر
- getLanguage: کد زبان منطقه محلی و با استفاده از متد locale.getCountry کد کشور منطقه محلی
- getNetworkCountryIso: کد ISO شبکه هر کشور
در ادامه متد onClick اجرا میشود. در این متد آدرس برنامه “bazaar://details?id=com.powerapp.goollp” در مارکت کافه بازار، جهت نصب باز شده و صفحه مربوط به این برنامه به نام “ویروس یاب ناسا” مشاهده میشود.
متد onClick برای 60 دکمه موجود در این اکتیویتی با عملکرد مشابه اجرا میشود و تنها نام پکیج برنامهها متفاوت است. بدافزار، کاربر را جهت دانلود برنامههای زیر و با هدف تبلیغات به صفحه این برنامهها در کافه بازار هدایت میکند (در حال حاضر هیچ کدام از برنامههای زیر در مارکت بازار موجود نیستند و در صورت جستجوی نام پکیج برنامه در کافه بازار با پیام “ این برنامه به درخواست توسعهدهنده از حالت انتشار خارج شده است” مواجه میشویم).
| ردیف | نام پکیج برنامه | نام برنامه |
| 1 | com.andromo.look.appsandromolook | صفحه قفل عشق (الگو) |
| 2 | com.starmob.bapp | آنتی ویروس (هوشمند) |
| 3 | com.powerapp.goollp | ویروس یاب ناسا |
| 4 | andromo.ewrekokofr.ftuufr.androkokomodatapp | تمام صفحه تماس شیشهای |
| 5 | com.dir.coopen.fgf | عشقی تماس تمام صفحه |
| 6 | com.powerapp.full.screen.id | تماس تمام صفحه (پیشرفته) |
| 7 | com.powerapp.looka | قفل تمام صفحه (پیشرفته) |
| 8 | com.init.app.view.yafoo.sss.aaa.www | شمارهگیر آیفون |
| 9 | com.andromo.games.softch.andrmosoftko | عکس فیلم مخفی |
| 10 | and.AppDetails2016 | برنامه در کافه بازار موجود نیست |
| 11 | himan.androidplas.com.cctv_Dozdkir | برنامه در کافه بازار موجود نیست |
| 12 | ir.mm.app.book | اموزش دوربین مدار بسته |
| 13 | com.ppp.ooo | عکس تو عکس (ساخت فیلم) |
| 14 | com.utopia_anti.AntivirusSecurityScanner | آنتی ویروس بیست + ضد هک تلگرام |
| 15 | com.zavaryanmaggmant.andromoapps | فایل منیجر هوشمند 2017 |
| 16 | com.secovrfgdfdfqp.andromo | ویروس کش هوشمند راین |
| 17 | ir.andromoapdsd.andromonaqash | نقاش همراه (عکس بده نقاشی بگیر!) |
| 18 | com.utopia.fullscreencallerid | صفحه تماس (پیشرفته) |
| 19 | com.gpsutopia.studio.apps.route.finder.map | برنامه در کافه بازار موجود نیست |
| 20 | com.AppDetails.apps.around.me.places.gps | آدرس یاب تمام دنیا |
| 21 | com.AppDetails.iphone6.ringtones | رینکتون آیفون ۶ |
| 22 | com.ppp.powerapp.app | تماس تصویری (FULL HD) |
| 23 | com.fing.woond.shoond | اپل پیام رسان |
| 24 | com.rabin.daood.fatm.tqe.gaa | صفحه تماس حرفهای (فول) |
| 25 | com.zavaryanmaggmant.andromoapps | فایل منیجر هوشمند 2017 |
| 26 | com.slovise.voices.lock | برنامه در کافه بازار موجود نیست |
| 27 | com.andromocompanybatreii.andromobatreii | هشداردهنده فول شارژ باتری |
| 28 | com.and.copanyapp | باشگاه پرورش اندام |
| 29 | com.reg.mhr.ede.asa | پاسخگوی حرفهای |
| 30 | com.andromo.frtfr.deiwed.sger | (تمام) صفحه تماس iOS |
| 31 | andromo.gtrandromointernet.andromoapps | پس زمینه زنده ساعت (HD) |
| 32 | himan.androidplas.com.Mashin_GPS2015 | برنامه در کافه بازار موجود نیست |
| 33 | com.utopia | برنامه در کافه بازار موجود نیست |
| 34 | com.mn.tray | نوشته رو عکس |
| 35 | com.hm.ty | میکسر عکس (نهایی) |
| 36 | com.andromorwsw.rhdskshn.toqozpangon | طراحی عکس با مداد! |
| 37 | ru.utopia.supervisor | برنامه در کافه بازار موجود نیست |
| 38 | com.powerappjj.station_clock_7_mobile | ساعت دیجی (زنده) |
| 39 | com.powerappddd.clock | ساعت زنده دیواری |
| 40 | analog.fff.stylish | ساعت پیشرفته زنده |
| 41 | com.popop.analogclock_7mobile | ساعت آنالوگ |
| 42 | com.powerapp.modern | ساعت زنده (سه بعدی) |
| 43 | imagic.powerappgogo | ساعت زنده |
| 44 | com.andromo.app.app.andro.rew | صفحه قفل الله (زنده) |
| 45 | com.androidpawerapp.livewallpaper | ساعت زنده الله |
| 46 | com.andromocompanybatreii.andromobatreii | برنامه در کافه بازار موجود نیست |
| 47 | andromogzx.notehaft.daimashntooapp | والپیپر زنده قاصدک |
| 48 | com.andromoapiui.wedslooklaserfooktoolook | قفل صفحه عشق |
| 49 | com.andromo.tedansfdtealphairanceellhcmtree | کنتور نت (wifi-3G-4G) |
| 50 | com.andromo.ewserqwswjutyhflkfaktomood | عکس تو عکس (اورجینال) قاب |
| 51 | andromoapps.qwere.mashoin | خلافی بگیر هوشمند |
| 52 | ir.andromolookssccreen.andromogamseappser | قفل صفحه هوشمند |
| 53 | com.gaemeandromo.vf.andromoanppsgamres | والپیپر S7 (زنده) |
| 54 | com.xandromoapps.mashinhayolaa | گذر موقت |
اکتیویتی Hiee_Apple
اعلانات تبلیغاتی دیگری که به کاربر نمایش داده می شود مربوط به برنامه “ممبرگیر” است. درصورت کلیک برروی این اعلان، کاربر به آدرس دانلود برنامه مورد نظر در کافه بازار ارجاع داده می شود. این اعلان هر دو روز یکبار به کاربر جهت دانلود برنامه نمایش داده شود. همچنین با زدن دکمه خروج از برنامه، دیالوگی جهت عضویت در کانال تلگرامی “بروزترین های عاشقانه” مشاهده می شود، در صورت کلیک کاربر، صفحه عضویت به این کانال در تلگرام باز میشود.
روش مقابله و پاکسازی سیستم
برای اطمینان خاطر از عدم آلودگی دستگاه، فایل پایگاه داده آنتی ویروس پادویش را نصب و بهروز نگه دارید و اسکن آنتی ویروس را انجام دهید.
روشهای پیشگیری از آلوده شدن گوشی:
۱. از دانلود و نصب برنامه از منابع و مارکتهای موبایلی نامعتبر خودداری کنید.
۲. هنگام نصب برنامههای موبایلی، به مجوزهای درخواستی دقت کنید.
۳. از فایلها و اطلاعات ذخیره شده در گوشی، پشتیبانگیری مداوم انجام دهید.
۴. از نسخههای غیر رسمی برنامهها استفاده نکنید. برنامههایی مانند تلگرام و اینستاگرام نسخههای غیر رسمی زیادی دارند و بیشتر آنها از طریق کانالهای تلگرامی انتشار مییابند.