Trojan.Android.Agent.Smsa

شرح کلی

نوع: تروجان (Trojan)
اسامی بدافزار:
Trojan.Android.Agent.Smsa
درجه تخریب: متوسط
میزان شیوع: متوسط

تروجان (Trojan) چیست؟

تروجان‌ها بدافزارهایی هستند که خودشان را در قالب یک ابزار مفید و کاربردی معرفی می‌کنند. کاربر بر همین اساس آنها را دانلود و نصب کرده و بدون اطلاع از بدافزار بودن برنامه دریافت شده، سیستم خود را آلوده می‌کند. تروجان‌ها معمولا پس از نصب در گوشی کاربر، به عنوان یک درب پشتی (Backdoor) برای دسترسی از راه دور هکرها به سیستم قربانی عمل می‌کنند. به عنوان مثال، بدافزاری که در ادامه بررسی می‌شود، به نظر می‌رسد کار مناسب و مفیدی انجام می‌دهد اما یک داده ناخواسته را روی سیستم نصب می‌کند.

توضیحات فنی

نام این برنامه “نقشه” است ولي در واقع برنامه‌اي جهت فعال کردن سرویس ارزش افزوده برای کاربر محسوب می‌شود. درحقیقت، محتوای آن جعلي است و پس از نصب هم عملكرد و محتواي مفيدي به کاربر ارائه نمی‌دهد.

این دسته از برنامه‌ها که سرویس ارزش افزوده برای کاربر فعال می‌کنند، اغلب هيچ محتواي با ارزشي ندارند و با نام‌های مختلفی از جمله با نام برنامه‌های مستهجن، برنامه‌های معروف و كاربردي مانند نقشه، اینستاگرام، تلگرام طلایی، ایرانسل من و … منتشر می‌شوند. اما برای استفاده از آنها لازم است عضو سرویس ارزش‌افزوده‌ای (VAS) شد که روزانه مبلغی از شارژ سیم کارت كاربر کسر می‌شود (تا زمانی که سرویس را لغو نماید). پس از عضویت نیز، کاربر با این موضوع مواجه می‌شود که یا محتوایی وجود ندارد و یا این محتوا به رایگان در بستر اینترنت در دسترس بوده است و برنامه جدید و با ارزشي نيست.

اين بدافزار علاوه بر اينكه كاربر را به عضویت در سرويس ارزش افزوده به ازای استفاده از برنامه خود اجبار می‌کند، دو برنامه ديگر در پس زمينه دانلود می‌کند، يعني اين برنامه يك دانلودر نيز محسوب می‌شود. در واقع، دانلودرها امکان دانلود و نصب سایر برنامه‌ها را دارند و اغلب آنها مخرب هستند.

در فعالیت اصلی برنامه، ابتدا اتصال به اينترنت بررسی مي‌شود و در صورتي كه اتصال به اينترنت وجود نداشته باشد، با گرفتن مجوزهاي دسترسي به تنظيمات Wifi و Data، به هر طريق ممکن به اينترنت دسترسي پيدا مي‌كند. سپس، اپراتور شبکه (همراه اول، ایرانسل و یا …) را شناسایی و با اتصال به سروري با آدرس hxxp[:]//79[.]175[.]164[.]51 كه ظاهرا يك پنل كاربري است، جهت احراز هويت كاربران از طريق  OTP (رمز يك بار مصرف) اقدام می‌کند. در این راستا، شماره موبايل كاربر به همراه شناسه MSISDN را به اين سرور ارسال مي‌كند (شناسه MSISDN شناسه‌ای منحصر به فرد براي مشتركين شبكه و شامل ۱۵ رقم است كه اين ارقام شامل كد كشور (cc=contry code) كد ناحيه و كد مشترك (subscriber number) مي‌شود).

در صورتي كه اپراتور شبکه همراه اول باشد، برنامه‌ای با نام Aseman7 را از طریق لينك hxxp[:]//84[.]22[.]102[.]27/dl/Aseman7.apk دانلود می‌کند و در صورتي كه اپراتور شبکه ايرانسل يا اپراتور ديگري باشد، برنامه‌ دیگری با نام Pin7 را از طریق لينك hxxp[:]//84[.]22[.]102[.]27/dl/Pin7.apk دانلود مي‌كند. در نهایت، بررسی می‌کند كه اين فايل‌هاي دانلود شده درون پوشه Download گوشي در بخش حافظه خارجی (SD Card) موجود باشد.

روش مقابله و پاک‌سازی سیستم

برای اطمینان خاطر از عدم آلودگی دستگاه، آنتی‌ویروس پادویش را نصب و فایل پایگاه داده آن را به‌روز نگه دارید و اسکن آنتی‌ویروس را انجام دهید.

روش‌های پیشگیری از آلوده شدن گوشی:

۱. از دانلود و نصب برنامه از منابع و مارکت‌های موبایلی نامعتبر خودداری کنید.

۲. هنگام نصب برنامه‌های موبایلی، به مجوزهای درخواستی دقت کنید.

۳. از فایل‌ها و اطلاعات ذخیره شده در گوشی پشتیبان‌گیری مداوم انجام دهید.

۴. از نسخه‌های غیررسمی برنامه‌ها استفاده نکنید. برنامه‌هایی مانند تلگرام و اینستاگرام نسخه‌های غیر رسمی زیادی دارند و بیشتر آنها از طریق کانال‌های تلگرامی انتشار می‌یابند.