Trojan.Android.Ahmyth.F

شرح کلی

نوع: تروجان (Trojan)
اسامی بدافزار:
Trojan.Android.Ahmyth.F
درجه تخریب: متوسط
میزان شیوع: متوسط

تروجان (Trojan) چیست؟

تروجان‌ها بدافزارهایی هستند که خودشان را در قالب یک ابزار مفید و کاربردی معرفی می‌کنند. کاربر بر همین اساس آنها را دانلود و نصب کرده و بدون اطلاع از بدافزار بودن برنامه دریافت شده، سیستم خود را آلوده می‌کند. تروجان‌ها معمولا پس از نصب در گوشی کاربر، به عنوان یک درب پشتی (Backdoor) برای دسترسی از راه دور هکرها به سیستم قربانی عمل می‌کنند. به عنوان مثال، بدافزاری که در ادامه بررسی می‌شود، به نظر می‌رسد کار مناسب و مفیدی انجام می‌دهد اما یک برنامه ناخواسته را روی سیستم نصب می‌کند.

بدافزار Ahmyth چیست؟

یک تروجان جاسوسی با دسترسی از راه دور اندرویدی (RAT) است که از طریق آن می‌توان از راه دور به هر دستگاه اندرویدی دسترسی پیدا کرد. همچنین، امکان سرقت اطلاعات کاربران مانند پیام‌ها و مخاطبان، گوش دادن به مکالمات قربانی، ضبط صدا، ضبط ویدئو، کنترل دوربین، برقراری تماس و … را نیز به Admin دستگاه می‌دهد.

توضیحات فنی

نام این برنامه “COVID-19 Test” است و در ظاهر صفحه‌ی وبي را به منظور اطلاع‌رساني در مورد ويروس كرونا نمايش مي‌دهد؛ اما در واقع یک بدافزار جاسوسی است و در پس‌زمینه و برای برقراری ارتباط با سرور آلوده خود عملیات مخربی را انجام می‌دهد.

Ahmyth

۱. ابتدا با استفاده از روشی به نام ()acquired، سرویس “WakeLock” (که صفحه دستگاه را روشن نگه می‌دارد) و سرویس “WifiLock” (که Wifi را روشن نگه می‌دارد) را برای برنامه‌اش فعال کرده و با استفاده از روش ()isheld در دسترس بودن این دو سرویس را بررسی می‌کند.

۲. طی شرطی بررسی می‌کند که آیا اجازه نمایش اعلان (notification) را دارد یا خیر. در صورتی که این دسترسی را نداشته باشد (که در حالت عادی اغلب برنامه‌ها این دسترسی را ندارند) با استفاده از “android.settings.ACTION_NOTIFICATION_LISTENER_SETTINGS” گزینه Show Notification را برای برنامه‌اش فعال می‌کند. سپس با استفاده از ClipboardManager و روش OnPrimaryClipChangedListener  تغییرات clipboard را بررسی می‌کند. در صورت تغییر، به محتوای جدید دسترسی پیدا کرده و آن را به سرور آلوده خود (hxxp[:]//tweensangoma.servebbs[.]com:22222) ارسال می‌کنداز آنجایی که ممکن است اطلاعات حساس و محرمانه‌ای مانند گذرواژه‌ها، متن‌ها، عکس‌ها و در clipboard گوشی ذخیره شوند، به راحتی توسط این بدافزار مانیتور و ضبط می‌شود.

۳. دستوراتی در قالب یک فایل Json از سمت سرور آلوده خود دریافت و طبق آن به انجام عملیات مخرب مورد نظرش می‌پردازد و بر اساس مقدار موجود در متغیر V2 یکی از عملیات زیر انجام می‌شود:

۱. اگر “V2=”0xFI باشد: بدافزار به این وسیله می‌تواند به تمام اطلاعات موجود در گوشی کاربر مانند تمام عکس‌ها، فایل‌ها، cookieها و …  دسترسی پیدا کند.

۲. اگر “V2=”0xSM باشد: دسترسی به تمام پیام‌های ارسالی و دریافتی کاربر به همراه محتویات (تاریخ ارسال یا دریافت پیام، متن پیام، نوع پیام)، به علاوه با استفاده از روش sendTextMessage پیام (sms) به هر شماره دلخواه ارسال می‌کند.

۳. اگر “V2=”0xCL باشد: (Calls Logs) تهیه لیستی از گزارشات تماس (شماره تلفن، نوع تماس، تماس ورودی یا خروجی، تاریخ برقراری تماس)

۴. اگر “V2=”0xCO باشد: تهیه لیستی از مخاطبین گوشی (نام و شماره تلفن)

۵. اگر “V2=”0xMI باشد: ضبط صدا از طریق میکروفون و ذخیره آن در قالب یک فایل صوتی با نام Sound و نوع mp3 در مسیری در دایرکتوری Sound.mp3

۶. اگر “V2=”0xLO باشد: به دست آوردن مکان جغرافیایی کاربر (GPS)

۷. اگر “V2=”0xWI باشد: به دست آوردن اطلاعات کاملی در مورد اتصالات شبکه (مانند MacAddress)

۸. اگر “V2=”0xPM باشد: بررسی و به دست آوردن لیست تمام مجوزهای دریافت شده توسط برنامه

۹. اگر “V2=”0xIN باشد: به دست آوردن لیست کاملی از اطلاعات تمام برنامه‌های نصب شده (نام، packageName ،versionCode ،versionName و …) روی گوشی کاربر با استفاده از روش getInstalledPackages

۱۰. اگر “V2=”0xGP باشد: بررسی و به دست آوردن مجوزهایی که خود بدافزار می‌تواند از آن استفاده کند.

در نهایت این بدافزار پس از انجام عملیات مخرب خود و جمع‌آوری اطلاعات مورد نظرش در مورد قربانی، با سرور خود ارتباط برقرار کرده و اطلاعات جمع‌آوری شده را به آن ارسال می‌کنداین برنامه به منظور برقراری ارتباط با سرور آلوده خود از کتابخانه‌ای به نام Socket.Io استفاده کرده است.

کتابخانه Socket.Io شامل APIهای مختلف می‌باشد که برای برقراری ارتباط بین سرور و مرورگر کلاینت استفاده می‌شود.

روش مقابله و پاک‌سازی سیستم

برای اطمینان خاطر از عدم آلودگی دستگاه، آنتی‌ویروس پادویش را نصب و فایل پایگاه داده آن را به‌روز نگه دارید و اسکن آنتی‌ویروس را انجام دهید.

روش‌های پیشگیری از آلوده شدن گوشی:

۱. از دانلود و نصب برنامه از منابع و مارکت‌های موبایلی نامعتبر خودداری کنید.

۲. هنگام نصب برنامه‌های موبایلی، به مجوزهای درخواستی دقت کنید.

۳. از فایل‌ها و اطلاعات ذخیره شده در گوشی پشتیبان‌گیری مداوم انجام دهید.

۴. از نسخه‌های غیررسمی برنامه‌ها استفاده نکنید. برنامه‌هایی مانند تلگرام و اینستاگرام نسخه‌های غیررسمی زیادی دارند و بیشتر آنها از طریق کانال‌های تلگرامی انتشار می‌یابند.

  مقاله برای 2 نفر مفید بود.

پاسخ دهید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>