Backdoor.Android.PhantomLance

شرح کلی

نوع: بدافزار درب پشتی (Backdoor)
اسامی بدافزار:
Backdoor.Android.PhantomLance.A
درجه تخریب: متوسط
میزان شیوع: متوسط

بدافزار درب پشتی (Backdoor) چیست؟

بدافزارهای درب پشتی (Backdoor) برنامه‌هایی هستند که امکان دور زدن مکانیزم‌های امنیتی یک سیستم را به هکرها داده و منابع مختلفی از آن سیستم را از راه مربوطه در اختیار نفوذگران قرار می‌دهند. هکرها می‌توانند با استفاده از این روش بدون نیاز به اعتبار سنجی وارد سیستم مورد نظر شده و از تغییر نام کاربری و رمز عبور نگرانی نداشته باشند. بدافزارهای درب پشتی اشکال مختلفی دارند که هکرها بنابر اهداف خود از نفوذ به منابع یک سیستم، از آنها استفاده می‌کنند.

توضیحات فنی

برنامه “Browser Turbo” بدافزاری از خانواده Backdoor می‌باشد. این بدافزار به نام “PhantomLance” نیز شناخته می‌شود و اولین نمونه از این خانواده بدافزاری در دسامبر ۲۰۱۵ ثبت شده است. عملکرد این خانواده از بدافزارها به این صورت است که اغلب مجوزهای دسترسی خطرناکی که لازم دارند را در فایل Manifest برنامه خود قرار نمی‌دهند و در حین اجرای برنامه و هر زمانی که به آنها نیاز پیدا کنند، با به‌کارگیری تکنیک خاصی به آن دسترسی پیدا کرده و به این ترتیب به اهداف خرابکارانه خود که اغلب دزدی اطلاعات از گوشی کاربران است، دست می‌یابند. همچنین، از این راه می‌توانند فیلترهای امنیتی و مارکت‌های مختلف اپلیکیشن‌های اندرویدی را دور بزنند.

برنامه”Browser Turbo” (نسخه ۱) از مجموعه بدافزارهای “PhantomLance” است که در ظاهر یک پاک‌ساز مروگر است اما در قسمت اجرایی، برنامه آیکون خود را پنهان کرده و اطلاعات محرمانه‌ای مثل موقعیت مکانی، پیام‌های متنی، لیست تماس‌ها، اطلاعات مربوط به حافظه، لیست برنامه‌های نصب شده و اطلاعات کامل گوشی را از کاربر جمع آوری و به سرور آلوده خود ارسال می‌کند. این برنامه به راحتی و بدون دخالت کاربر با استفاده از تکنیک SetUidMode مجوزهای لازم را به صورت RunTimePermission (درخواست مجوز در زمان مورد نیاز برنامه) دریافت می‌کند.

تکنیک SetUidMode“: رابط برنامه‌نویسی نامعتبری است که برنامه با استفاده از آن مجوزهای لازم را دریافت می‌کند. به منظور اجرای صحیح، نیاز به دسترسی روت دارد و اولین قدم برای اجرای یک دستور روت، اطمینان از روت بودن و یا نبودن دستگاه است که در این قسمت از برنامه با استفاده از دستورات زیر روت بودن یا نبودن گوشی بررسی می‌شود و در صورت روت بودن دستگاه، مقدار True برگردانده می‌شود. این برنامه در ابتدا لیستی از مجوزهای برنامه را دریافت و ذخیره می‌کند. سپس طبق شرطی آنها را چک کرده و اگر برابر با Null باشند (یعنی هیچ مجوزی نداشته باشد) مجوزهای زیر را به برنامه اختصاص می‌دهد (با استفاده از تکنیک SetUidMode مجوزهای جامع و خطرناک زیر را دریافت می‌کند):

۱- “android.permission-group.SMS“:

برنامه می‌تواند از سرویس‌های SMS و MMS گوشی استفاده کند؛ به این ترتیب قادر به دریافت SMS و WAP، خواندن، ویرایش و ارسال SMS و MMS می‌باشد که هزینه‌ای را برای کاربر به دنبال خواهد داشت. اگر این مجوز را دریافت کرده باشد، از این طریق اجازه کسب مجوز “android.permission.READ_SMS”  را پیدا می‌کند.

۲- “android.permission-group.MICROPHONE“:

برنامه قادر به استفاده از میکروفون گوشی است و می‌تواند از آن برای ضبط کردن صدا استفاده کند و این کار نیز با اجازه یا بدون اجازه کاربر صورت می‌پذیرد. اگر این مجوز را دریافت کرده باشد، از این طریق اجازه کسب مجوز “android.permission.RECORD_AUDIO” را نیز پیدا می‌کند.

۳- “android.permission-group.STORAGE“:

برنامه می‌تواند از فایل‌های موجود در گوشی استفاده کند. این قابلیت شامل خواندن و نوشتن در حافظه خارجی (SDcard) و حافظه USB است و همچنین می‌تواند حافظه خارجی را فرمت کند. این مجوز با خواندن فضای ذخیره سازی خارجی در گوشی‌های جدیدتر سر و کار دارد. اگر این مجوز را دریافت کرده باشد، از این طریق اجازه کسب مجوزهای “android.permission.READ_EXTERNAL_STORAGE” و “android.permission.WRITE_EXTERNAL_STORAGE” را پیدا می‌کند.

۴- “android.permission-group.LOCATION“:

برنامه با استفاده از تنظیمات تقریبی یا دقیق قادر به استفاده از اطلاعات موقعیت گوشی خواهد بود. در صورت استفاده از گزینه تقریبی، برنامه اطلاعات موقعیت گوشی را از شبکه دریافت می‌کند. درحالی که در گزینه دقیق، برنامه از سیستم GPS گوشی و شبکه برای تشخیص موقعیت گوشی بهره می‌گیرد. برای این کار مجوز به برنامه اجازه می‌دهد تا به کامندهای اضافه ارائه دهنده موقعیت و GPS دسترسی پیدا کند. اگر این مجوز را دریافت کرده باشد، از این طریق اجازه کسب مجوزهای “android.permission.ACCESS_FINE_LOCATION” و “android.permission.ACCESS_COARSE_LOCATION” را پیدا می‌کند.

۵- “android.permission-group.CAMERA“:

برنامه می‌تواند عکس گرفته یا ویدیو ضبط کند و این کار با آگاهی و یا حتی بدون اجازه کاربر صورت می‌پذیرد. اگر این مجوز را دریافت کرده باشد، از این طریق اجازه کسب مجوز “android.permission.CAMERA” را پیدا می‌کند.

۶-  “android.permission-group.CALL_LOG“:

این مجوز برنامه را قادر می‌سازد به مجوزهایی که مربوط به بخش “تنظیمات تلفن” هستند دسترسی داشته باشد. در واقع تنظیماتی که می‌توانیم تغییر دهد شامل حالت‌های انتقال تماس در صورت مشغول بودن خط، انتقال تماس در صورت عدم پاسخگويي، انتقال تماس در هنگام عدم دسترسي و… هستند. اگر این مجوز را دریافت کرده باشد، از این طریق اجازه کسب مجوز “permission.READ_CALL_LOG” را پیدا می‌کند.

۷- “android.permission-group.CALENDAR“:

این مجوز برنامه را قادر به دسترسی به تقویم و رویدادهای کاربر می‌کند، حتی اگر شامل اطلاعات محرمانه‌ای باشند. برنامه با این مجوز قادر به ساخت رویدادها و ارسال ایمیل به مهمانان بدون اطلاع کاربر است که می‌تواند در برخی از شرایط خطرناک باشد. اگر این مجوز را دریافت کرده باشد، از این طریق اجازه کسب مجوزهای  “android.permission.READ_CALENDAR” و “android.permission.WRITE_CALENDAR” را پیدا می‌کند.

۸- “android.permission-group.PHONE“:

برنامه به شماره‌های تماس دسترسی مستقیم دارد و می‌تواند لاگ تماس‌ها را خوانده و یا اطلاعاتی را در آنجا ثبت کند، وضعیت گوشی را تغییر دهد و بدون اطلاع کاربر تماس برقرار کند. مشابه مجوز SMS، این بخش نیز هزینه‌بر خواهد بود. این مجوز با تمامی قسمت‌هایی که با امکانات تلفنی گوشی مرتبط هستند سر و کار دارد. اگر این مجوز را دریافت کرده باشد، از این طریق اجازه کسب مجوز “android.permission.READ_PHONE_STATE”را پیدا می‌کند.

۹- “android.permission-group.CONTACTS“:

این مجوز مشابه مجوز قبلی است، با این تفاوت که این مجوز تنها به مخاطبین ذخیره شده در گوشی دسترسی دارد و می‌تواند آنها را بخواند و یا تغییر دهد. اگر این مجوز را دریافت کرده باشد، از این طریق اجازه کسب مجوزهای “android.permission.READ_CONTACTS” و “android.permission.GET_ACCOUNTS” را پیدا می‌کند.

اطلاعاتی که این برنامه از گوشی کاربر جمع می‌کند:

  • ابتدا دسترسی کامل به حافظه را گرفته و سپس با استفاده از متد totalMem اطلاعات کاملی از حافظه گوشی کاربر مانند RAM ,cpu و بافر، میزان حافظه مصرفی و میزان فضای خالی و اطلاعات موجود در آن را دریافت می‌کند.
  • دسترسی به موقعیت کاربر بر اساس اتصال به اینترنت یا GPS که آن را هر ۱۵ دقیقه یک بار چک کرده و آپدیت نگه می‌دارد.
  • دسترسی به آخرین مکانی که کاربر در آن حضور داشته است.
  • با استفاده از (“getSystemService(“phone به اطلاعات محرمانه گوشی کاربر از جمله شناسه منحصر به فرد دستگاه دسترسی پیدا می‌کند.

روش مقابله و پاک‌سازی سیستم

برای اطمینان خاطر از عدم آلودگی دستگاه، آنتی‌ویروس پادویش را نصب و فایل پایگاه داده آن را به‌روز نگه دارید و اسکن آنتی‌ویروس را انجام دهید.

روش‌های پیشگیری از آلوده شدن گوشی:

۱. از دانلود و نصب برنامه از منابع و مارکت‌های موبایلی نامعتبر خودداری کنید.

۲. هنگام نصب برنامه‌های موبایلی به مجوزهای درخواستی دقت کنید.

۳. از فایل‌ها و اطلاعات ذخیره شده در گوشی پشتیبان‌گیری مداوم انجام دهید.

۴. از نسخه‌های غیررسمی برنامه‌ها استفاده نکنید. برنامه‌هایی مانند تلگرام و اینستاگرام نسخه‌های غیررسمی زیادی دارند و بیشتر آنها از طریق کانال‌های تلگرامی انتشار می‌یابند.