Adware.Android.SmsReg

شرح کلی

نوع: تبلیغ افزار (Adware)
اسامی بدافزار:
Adware.Android.SmsReg.Rez
درجه تخریب: متوسط
میزان شیوع: متوسط

تبلیغ افزار (Adware) چیست؟

تبلیغ افزارها بدافزارهای تبلیغاتی هستند که موجب ‫نمایش تبلیغات یا ظاهر شدن بنرهای ‫متعددی در سیستم شده و شما را ‫تشویق به خرید محصولات یا استفاده ‫از سرویس‌های خود می‌کنند. این نوع ‫از بدافزارها معمولاً ناخواسته و بدون‫ اطلاع کاربر وارد سیستم می‌شوند.

خانواده بدافزاری SmsReg چیست؟

بدافزار تبلیغاتی SmsReg، با هدف انجام تبلیغات حرفه‌ای و مطمئن و با استفاده از سرویس آماروید (Amaroid) که متعلق به شرکت ژوبین است، اطلاعات و علایق کاربران را جمع‌آوری می‌نماید و آنها را در سرویس‌های ارزش افزوده نیز عضو می‌کند.
براساس اپلیکیشن‌های منتشر شده در فضای مجازی مانند کانال‌های مختلف تلگرامی یا صفحات تبلیغات اینستاگرامی، دسته‌ای از بدافزارها را شاهد هستیم که با هدف عضو کردن کاربر در سرویس‌های ارزش افزوده و دریافت وجه بدون آگاهی کاربران منتشر می‌شوند. انواع مختلفی از این اپلیکیشن‌ها با نام‌های مختلفی مانند رضوان، جعبه شادی، پرداخت قبض و … با هدف عضویت کاربر در این نوع سرویس‌ها وجود دارند.

عملکرد این بدافزارها به این صورت است که به محض نصب و اجرای برنامه، صفحه‌ای با این مضمون به کاربر نمایش داده می‌شود که برای استفاده از برنامه لازم است در یک سرویس ارزش افزوده که از قبل در برنامه مشخص شده است عضو شوند و با راه‌اندازی برنامه از امکانات آن استفاده کنند. در این شرایط، حتی پس از حذف برنامه، به دلیل عضویت در سرویس مذکور، همچنان بر روی قبض گوشی کاربر، بدون اینکه دلیل آن را بداند، مبلغی اضافه می‌شود. فعال‌سازی این سرویس‌ها در ازای برداشت مبلغی به صورت روزانه و یا ماهانه است. این برنامه‌ها اغلب اپلیکیشن‌هایی غیرکاربردی هستند که یا محتوایی در برنامه وجود ندارد و یا این محتوا به رایگان در بستر اینترنت در دسترس همگان قرار دارد.

توضیحات فنی

به محض راه‌اندازی برنامه، ابتدا برقراری اتصال به اینترنت بررسی می‌شود و نوع اپراتور را مشخص می‌کند. همچنین پیغامی با این مضمون نمایش داده می‌شود که برای راه اندازی اپلیکیشن (رضوان) و استفاده از خدمات آن، گام اول، عضویت در سرویس ارزش افزوده‌ی متعلق به شرکت “آداک” است. بعد از وارد کردن شماره تلفن همراه کاربر، اطلاعات وارد شده به آدرس http://imi.adak-tech.ir:4020/site/login  با آی پی 79.175.163.213 ارسال می‌شود.
پس از عضویت در سرویس، رمز یک بار مصرفی از سرور، برحسب پرداخت هزینه اشتراک دوره‌ای که کاربر مشخص کرده است، به صورت پیامک ارسال می‌شود. تا اینجای کار چون در خود برنامه، عضویت در سرویس ارزش افزوده قید شده است، برنامه ماهیت کاملا بدافزار گونه ندارد ولی این اپلیکیشن از کدهایی با نام  net.jhoobin استفاده کرده است. در واقع فعالیت این کدها همان عضویت کاربر در سرویس‌ها، کسر هزینه و همچنین استفاده از پلتفرمی به نام آماروید برای داده کاوی و نمایش تبلیغات به کاربر است. از آنجایی که این بخش کاملا از نگاه کاربر مخفی است، این اپلیکیشن در دسته تبلیغ افزارهای مخرب قرار می‌گیرد.
محصولات این شرکت مواردی همچون چارخونه، پارس هاب و… هستند که بخش مهم و قابل توجه سرویس چارخونه، داشتن بستر اختصاصی سیستم پرداخت و عضویت ارزش افزوده مربوط به خود این سرویس است. به این معنا که اپلیکیشن‌هایی که برای چارخونه توسعه داده می‌شوند، می‌توانند از سیستم پرداختی استفاده کنند که ایرانسل مخصوص چارخونه مهیا کرده‌است.
کاربران حتی با شماره‌گیری #800* از سرویس‌های فعال بر بستر چارخونه مطلع نمی‌شوند و برای این‌کار لازم است اپلیکیشن چارخونه را نصب و عضو شوند که فرآیند عضویت و لغو عضویت نیز پیچیده است. یکی از دلایل استفاده زیاد اپلیکیشن‌های بی‌محتوا از این بستر، همین امکان است که اعضا به راحتی عضو سرویس شده و به سختی می‌توانند از سرویس‌های فعال خود اطلاع پیدا کنند و گاهی نمی‌توان متوجه شد که سرویس از طریق چارخونه برای کاربر فعال شده است.

از اهداف دیگر این بدافزار، نمایش تبلیغات با توجه به علاقمندی کاربر و با استفاده از سرویس داده کاوی آماروید است. این  پلتفرم در زمینه تجزیه و تحلیل دیتا و اطلاعات مربوط به رفتار کاربران در حین استفاده از اپلیکیشن‌هاست که از مجوز “com.google.android.finsky.permission.BIND_GET_INSTALL_REFERRER_SERVICE” استفاده می‌کند. می‌توان نتیجه گرفت که این اپلیکیشن دقت بیشتری برای تبلیغات اینترنتی دارد، چرا که دانستن این نکته که افراد از چه راهی اپلیکیشن‌ را دانلود می‌کنند و یا بعد از نصب آن چه کرده‌اند، اهمیت زیادی دارد. مثلا برای انتخاب زمان نمایش تبلیغات، با در نظر داشتن شلوغ‌ترین زمان مراجعه کاربران به اپلیکیشن، می‌توان برنامه‌های تبلیغاتی را با حداکثر بازده به سمت آنها ارسال کرد. علاوه بر این، اطلاعات مربوط به تاریخچه مرورگرها مانند جستجوهای کاربر در مرورگر تلفن همراه و موقعیت مکانی، بر نوع تبلیغاتی که قرار است برای هر کاربر ارسال شود، اثر گذار است.

یکی از اطلاعاتی که با هدف داده کاوی جمع آوری می‌شوند، شماره شناسایی MSISDN است که از این شماره برای عملیات مسیریابی و شارژینگ در شبكه‌های مخابراتی استفاده می‌شود. معادل هر MSISDN یك IMSI قرار دارد و IMSI شماره‌ای است كه شبكه‌ی تلفن سیار به مشترك سرویس‌دهی می‌کند.

روش مقابله و پاک‌سازی سیستم

برای پاک‌سازی این بدافزار، ابتدا برنامه را از تلفن همراه خود حذف کنید و برای لغو اشتراک اقدامات زیر را انجام دهید:

  • ابتدا با شماره گیری #800* سرویس‌های فعال را مشاهده و کد دستوری ارسال شده برای لغو سرویس را با توجه به پیام ارسال شده بفرستید.
  • اگر سیم کارت شما ایرانسل است، بهتر است تمامی سرویس‌های ارزش افزوده را به طور یک‌جا غیرفعال نمایید و یا اینکه به حساب کاربری خود در فروشگاه چارخونه مراجعه و اشتراک خود را لغو کنید.

روش های پیشگیری از آلوده شدن گوشی:

۱. برای اطمینان خاطر از عدم آلودگی دستگاه، آنتی ویروس پادویش را نصب و فایل پایگاه داده آن را به‌روز نگه دارید و اسکن آنتی ویروس را انجام دهید.

۲. از دانلود و نصب برنامه از منابع و مارکت‌های موبایلی نامعتبر خودداری کنید.

۳. هنگام نصب برنامه‌های موبایلی، به مجوزهای درخواستی دقت کنید.

۴. از فایل‌ها و اطلاعات ذخیره شده در گوشی، پشتیبان‌گیری مداوم انجام دهید.

۵. از نسخه‌های غیررسمی برنامه‌ها استفاده نکنید. برنامه‌هایی مانند تلگرام و اینستاگرام نسخه‌های غیررسمی زیادی دارند و بیشتر آنها از طریق کانال‌های تلگرامی انتشار می‌یابند.