PUA.Android.Adware.Ghanon

شرح کلی

نوع: PUA (بدافزارهای بالقوه ناخواسته)
اسامی بدافزار:
PUA.Android.Adware.Ghanon
درجه تخریب: متوسط
میزان شیوع: متوسط

PUA) potentially Unwanted Application) چیست؟

‫بدافزارهایی که اغلب شامل برنامه‌های تبلیغاتی (Adware) یا نصب toolbar و یا اهداف دیگر هستند، اما در عمل به اندازه سایر بدافزارها مخرب نیستند. این دسته از بدافزارها ممکن است فعالیت‌هایی انجام دهند که مورد تأیید یا انتظار کاربر نیست و مخرب باشند ولی برخی از کاربران، فواید استفاده از این قبیل برنامه‌ها را بیشتر از معایبشان می‌دانند و استفاده از آنها را بنا به اختیار خود بدون اشکال تلقی می‌کنند‌.

توضیحات فنی

نام این برنامه “قانون به زبان ساده” است و از سرویس تبلیغاتی با نام پوشه برای نمایش اعلان‌ها و لینک‌های تبلیغاتی استفاده می‌کند. پوشه (Pushe) يک سرويس ارسال push notification و مربوط به شركتي ايراني به نام روناش با آدرس اينترنتي ronash.co و pushe.co می‌باشد. این سرویس برای افراد توسعه‌دهنده موبايل و وب در جهت نمایش اعلان‌ در برنامه‌هایشان تعبیه شده است تا بتوانند برای كاربران برنامه‌های خود، بنابر قوانین وضع شده در شرکت، اعلان‌هايي را ارسال كنند.

توسعه‌دهندگان برنامه‌ها از طريق پنل كاربری كه اين شركت در اختيار آنها قرار مي‌دهد، اقدام به ارسال اعلان به مشتريان برنامه‌های خود می‌کنند اما این اعلان‌ها بدون اعلام و تایید کاربر و به ویژه بدون بررسی‌های لازم که تحت چه عنوانی و با ارائه چه مطالبی هستند، می‌تواند آزاردهنده و یا مخرب باشند.

در داخل برنامه دكمه‌اي با عنوان “كانال پزشكي” به منظور تبليغ اين كانال وجود دارد كه كاربر را به كانالي در تلگرام هدايت مي‌كند (https[:]//t.me/anatome) در صورتی که عنوان این برنامه و مطالب قرارداده شده در آن در مورد قانون بوده و کاملا بی‌ربط به مطالب پزشکی است. از آنجایی که معلوم نیست در این کانال چه مطالبی و تحت چه عناوینی در اختیار کاربران قرار می‌گیرد، می‌تواند به نوبه‌ خود خطرناک باشد.

همچنین در این برنامه لینک‌های تبلیغاتی یک سایت فیلتر شده نیز مشاهده می‌شود. نمونه‌ای از لینک‌های تبلیغاتی که این برنامه به کاربر نمایش می‌دهد:

http[:]//gamejoo.com/tabligh.html
http[:]//gamejoo.com/tabligh.html?bazaar

هر دوی این لینک‌ها مربوط به برنامه ساز “JoApp” بوده که کار آنها به گفته خودشان، ساخت برنامه‌های مختلف، نمایش اعلان‌ها و … است که در حال حاضر سایتشان فیلتر شده است.

همچنین، در این برنامه به منظور انجام تبلیغات، اطلاعات مهمی از کاربران واکشی می‌شود؛ در واقع با استفاده از متدهایی که از کلاس TelephonyManager فراخوانی شده است، به اطلاعات زير دسترسي پيدا مي‌كند:

getNetworkType: دسترسی به اطلاعات شبکه

getSimOperatorName: دسترسی به اطلاعات اپراتور سیم کارت

getDeviceId: دسترسی به شناسه منحصر به فرد گوشی کاربر

و با استفاده از متد getLastKnownLocation نیز به مکان و موقعیت جغرافیایی کاربر دسترسی پیدا می‌کند.

روش مقابله و پاک‌سازی سیستم

برای اطمینان خاطر از عدم آلودگی دستگاه، آنتی‌ویروس پادویش را نصب و فایل پایگاه داده آن را به‌روز نگه دارید و اسکن آنتی‌ویروس را انجام دهید.

روش‌های پیشگیری از آلوده شدن گوشی:

۱. از دانلود و نصب برنامه از منابع و مارکت‌های موبایلی نامعتبر خودداری کنید.

۲. هنگام نصب برنامه‌های موبایلی، به مجوزهای درخواستی دقت کنید.

۳. از فایل‌ها و اطلاعات ذخیره شده در گوشی پشتیبان‌گیری مداوم انجام دهید.

۴. از نسخه‌های غیررسمی برنامه‌ها استفاده نکنید. برنامه‌هایی مانند تلگرام و اینستاگرام نسخه‌های غیررسمی زیادی دارند و بیشتر آنها از طریق کانال‌های تلگرامی انتشار می‌یابند.

پاسخ دهید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>