شرح کلی
نوع: تروجان (Trojan)
اسامی بدافزار:
Trojan.Android.Agent.Smsa
درجه تخریب: متوسط
میزان شیوع: متوسط
تروجان (Trojan) چیست؟
تروجانها بدافزارهایی هستند که خودشان را در قالب یک ابزار مفید و کاربردی معرفی میکنند. کاربر بر همین اساس آنها را دانلود و نصب کرده و بدون اطلاع از بدافزار بودن برنامه دریافت شده، سیستم خود را آلوده میکند. تروجانها معمولا پس از نصب در گوشی کاربر، به عنوان یک درب پشتی (Backdoor) برای دسترسی از راه دور هکرها به سیستم قربانی عمل میکنند. به عنوان مثال، بدافزاری که در ادامه بررسی میشود، به نظر میرسد کار مناسب و مفیدی انجام میدهد اما یک داده ناخواسته را روی سیستم نصب میکند.
توضیحات فنی
نام این برنامه “نقشه” است ولي در واقع برنامهاي جهت فعال کردن سرویس ارزش افزوده برای کاربر محسوب میشود. درحقیقت، محتوای آن جعلي است و پس از نصب هم عملكرد و محتواي مفيدي به کاربر ارائه نمیدهد.
این دسته از برنامهها که سرویس ارزش افزوده برای کاربر فعال میکنند، اغلب هيچ محتواي با ارزشي ندارند و با نامهای مختلفی از جمله با نام برنامههای مستهجن، برنامههای معروف و كاربردي مانند نقشه، اینستاگرام، تلگرام طلایی، ایرانسل من و … منتشر میشوند. اما برای استفاده از آنها لازم است عضو سرویس ارزشافزودهای (VAS) شد که روزانه مبلغی از شارژ سیم کارت كاربر کسر میشود (تا زمانی که سرویس را لغو نماید). پس از عضویت نیز، کاربر با این موضوع مواجه میشود که یا محتوایی وجود ندارد و یا این محتوا به رایگان در بستر اینترنت در دسترس بوده است و برنامه جدید و با ارزشي نيست.
اين بدافزار علاوه بر اينكه كاربر را به عضویت در سرويس ارزش افزوده به ازای استفاده از برنامه خود اجبار میکند، دو برنامه ديگر در پس زمينه دانلود میکند، يعني اين برنامه يك دانلودر نيز محسوب میشود. در واقع، دانلودرها امکان دانلود و نصب سایر برنامهها را دارند و اغلب آنها مخرب هستند.
در فعالیت اصلی برنامه، ابتدا اتصال به اينترنت بررسی ميشود و در صورتي كه اتصال به اينترنت وجود نداشته باشد، با گرفتن مجوزهاي دسترسي به تنظيمات Wifi و Data، به هر طريق ممکن به اينترنت دسترسي پيدا ميكند. سپس، اپراتور شبکه (همراه اول، ایرانسل و یا …) را شناسایی و با اتصال به سروري با آدرس hxxp[:]//79[.]175[.]164[.]51 كه ظاهرا يك پنل كاربري است، جهت احراز هويت كاربران از طريق OTP (رمز يك بار مصرف) اقدام میکند. در این راستا، شماره موبايل كاربر به همراه شناسه MSISDN را به اين سرور ارسال ميكند (شناسه MSISDN شناسهای منحصر به فرد براي مشتركين شبكه و شامل ۱۵ رقم است كه اين ارقام شامل كد كشور (cc=contry code) كد ناحيه و كد مشترك (subscriber number) ميشود).
در صورتي كه اپراتور شبکه همراه اول باشد، برنامهای با نام Aseman7 را از طریق لينك hxxp[:]//84[.]22[.]102[.]27/dl/Aseman7.apk دانلود میکند و در صورتي كه اپراتور شبکه ايرانسل يا اپراتور ديگري باشد، برنامه دیگری با نام Pin7 را از طریق لينك hxxp[:]//84[.]22[.]102[.]27/dl/Pin7.apk دانلود ميكند. در نهایت، بررسی میکند كه اين فايلهاي دانلود شده درون پوشه Download گوشي در بخش حافظه خارجی (SD Card) موجود باشد.
روش مقابله و پاکسازی سیستم
برای اطمینان خاطر از عدم آلودگی دستگاه، آنتیویروس پادویش را نصب و فایل پایگاه داده آن را بهروز نگه دارید و اسکن آنتیویروس را انجام دهید.
روشهای پیشگیری از آلوده شدن گوشی:
۱. از دانلود و نصب برنامه از منابع و مارکتهای موبایلی نامعتبر خودداری کنید.
۲. هنگام نصب برنامههای موبایلی، به مجوزهای درخواستی دقت کنید.
۳. از فایلها و اطلاعات ذخیره شده در گوشی پشتیبانگیری مداوم انجام دهید.
۴. از نسخههای غیررسمی برنامهها استفاده نکنید. برنامههایی مانند تلگرام و اینستاگرام نسخههای غیر رسمی زیادی دارند و بیشتر آنها از طریق کانالهای تلگرامی انتشار مییابند.