شرح کلی
نوع: PUA (بدافزارهای بالقوه ناخواسته)
اسامی بدافزار:
PUA.Android.Dnotua.B
درجه تخریب: متوسط
میزان شیوع: متوسط
PUA) potentially Unwanted Application) چیست؟
بدافزارهایی که اغلب شامل تبلیغات (Adware) یا نصب toolbar و یا اهداف این چنینی میباشند، اما در عمل مانند سایر بدافزارها مخرب نیستند. این دسته از بدافزارها ممکن است فعالیتهایی انجام دهند که مورد تأیید یا انتظار کاربر نیست و مخرب باشند ولی برخی از کاربران، فواید استفاده از این قبیل برنامهها را بیشتر از معایبشان میدانند و استفاده از آنها را بنا به اختیار خود بدون اشکال تلقی میکنند.
خانواده بدافزاری Dnotua چیست؟
این خانواده بدافزاری شامل برنامههای معروفی مانند اینستاگرام، تلگرام طلایی، ایرانسل من و … و همچنین برنامههایی مربوط به موضوعات پرکاربرد روز مانند آموزش بورس، نوسانگیر بورس، تحلیلگران بورس، بورس و بازار سهام، بورس از مبتدی تا پیشرفته و … میباشد که در بازارهای اندرویدی مختلف برای دانلود در اختیار کاربران قرار داده میشوند. نامگذاری برنامهها به گونهای است که کاربر ترغیب به نصب آنها شود، اما برای استفاده از آنها اغلب باید عضو سرویس ارزش افزودهای شود که هیچ ارتباطی با نام برنامه ندارد و روزانه مبلغی از شارژ سیم کارت کسر میشود و یا اینکه دارای تبلیغات درون برنامهای بدون اطلاع یا اجازه کاربر خواهند بود.
توضیحات فنی
این برنامه با نام “آموزش بورس” منتشر شده است. بنابر شرایط فعلی جامعه و بازار بورس، در حال حاضر دانلود و استفاده از این نوع برنامهها از بازارهای اندرویدی رونق بیشتری گرفته است. از جمله این برنامهها میتوان به اپلیکیشنهایی با نامهای آموزش بورس، نوسانگیر بورس، تحلیلگران بورس، بورس و بازار سهام، بورس از مبتدی تا پیشرفته و… اشاره کرد.
بعد از اجرای برنامه و در فعالیت اصلی آن، تمام آیکونهایی که توسط برنامهنویس و مربوط به “ارسال پیام” و “ثبت نظر در بازار” گذاشته شده است، غیرفعال میشود و به ازای کلیک بر روی آن، پیغام “برنامه مورد نظر یافت نشد” به کاربر نمایش داده میشود. در واقع این اپلیکیشن، یک برنامه بسیار ساده میباشد که تقریبا تمامی دادهها و اطلاعات خود را از فایل assets برنامه به راحتی لود کرده و میخواند و تنها موردی که میتوان به آن اشاره کرد، استفاده از پکیجهای تبلیغاتی است. به طور واضح، بنر تبلیغاتی که نمایش داده میشود مربوط به “برنامه ساز JoAPP” است که با کلیک کاربر بر روی آن، بنر تبلیغاتی به سایت “bejo[.]ir” منتقل میشود. همچنین، برای نمایش تبلیغات از اتصال به آدرس “hxxp[:]//gamejoo[.]com/tabligh[.]html ” استفاده میشود.
RssActivity
برای دستیابی به اطلاعات به روز این وبسایت در برنامه، از feedهای RSS استفاده شده است. هر سایت میتواند یک RSS feed یا چندین feed با موضوعات مختلف داشته باشد. این ابزار چکیدهای از محتوای سایت را در قالب دیتایی قابل درک برای کاربران فراهم میکند و این در حالی است که ساختار آن مبتنی بر زبان XML بوده که برای اپلیکیشنهای مختلف نیز به راحتی قابل فهم و خواندن است.
BookmarksActivity
از دیگر اهداف مربوط به این تبلیغ افزار، bookmark کردن آدرسهای URLهایی است که کاربر از طریق مرورگر گوشی خود به آنها وصل میشود.
روش مقابله و پاکسازی سیستم
برای اطمینان خاطر از عدم آلودگی دستگاه، آنتیویروس پادویش را نصب و فایل پایگاه داده آن را بهروز نگه دارید و اسکن آنتیویروس را انجام دهید.
روشهای پیشگیری از آلوده شدن گوشی:
۱. از دانلود و نصب برنامه از منابع و مارکتهای موبایلی نامعتبر خودداری کنید.
۲. هنگام نصب برنامههای موبایلی، به مجوزهای درخواستی دقت کنید.
۳. از فایلها و اطلاعات ذخیره شده در گوشی پشتیبانگیری مداوم انجام دهید.
۴. از نسخههای غیررسمی برنامهها استفاده نکنید. برنامههایی مانند تلگرام و اینستاگرام نسخههای غیررسمی زیادی دارند و بیشتر آنها از طریق کانالهای تلگرامی انتشار مییابند.