شرح کلی
نوع: تروجان
درجه تخریب: متوسط
میزان شیوع: متوسط
تروجان(Trojan) چیست؟
تروجانها نوعی از بدافزارها محسوب میشوند که خود را در قالب نرمافزاری سالم و قانونی نشان میدهند و بسیار شبیه نرمافزارهای مفید و کاربردی رفتار میکنند. اما هنگامی که اجرا میشوند، خرابیهای زیادی را برای سیستم ایجاد میکنند. از جمله راههای ورود تروجانها به سیستم: نرمافزارهای دانلود شده از اینترنت، جاساز شدن در متن HTML، ضمیمه شدن به یک ایمیل و … هستند. تروجانها برخلاف ویروسها و کرمهای کامپیوتری قادر به تکثیر خود نیستند.
خانواده بدافزاری Fake Call چیست؟
fake call یک خانواده بدافزاری از دسته تروجانها است. این تروجان بانکی تحت عنوان یک نرمافزار بانکی عمل میکند. روش کار این نوع بدافزارها voice phishing است. روند فیشینگ صوتی در این خانواده بدافزاری بدین صورت است که هکر با عنوان جعلی کارمند بانک با قربانی هدف تماس میگیرد و به فریفتن او میپردازد. قربانی فریب پیشنهادات دروغین و جذاب وام با نرخ بهره پایین را میخورد. مکالمه صوری در حالی اتفاق میافتد که شماره تلفن متعلق به اپراتورهای بدافزار با یک شماره بانک واقعی جایگزین میشود. بنابراین قربانی چنین تصور میکند که با یک بانک و کارمند واقعی گفتگو داشته است. پس از ایجاد اعتماد، قربانی فریب داده میشود تا جزئیات کارت اعتباری خود را تایید کند.
توضیحات فنی
علائم آلودگی
- درخواست مجوزهای خطرناک
- درخواست مجوز accessibility
❌ هنگامی که برنامه نصب میشود، علیرغم موفقیتآمیز بودن نصب آن، اما آیکون برنامه مشاهده نمیشود.
صفحه برنامه به شکل زیر است:
ابتدا از کاربر فعالسازی گزینه run in background برای برنامه درخواست میشود. پس از آن با جملاتی به زبان کرهای (معادل انگلیسی آن: In order to use the app, you must allow to use the normal service) از کاربر تقاضا میشود که accessibility service را در تنظیمات برنامه فعال کند.
پس از فعالسازی برنامه صفحه زیر مشاهده میشود. بر روی دکمه سبز عبارت Installation setup is complete نوشته شده است.
- پس از فعال کردن accessibility مجوزهای حین اجرا نهایتا از کاربر تنظیم بدافزار به عنوان برنامه پیش فرض تماس درخواست میشود.
شرح عملکرد
با نگاهی کلی به کدهای برنامه مشخص میشود موارد مهم برنامه اعم از نام برخی متدها و رشتهها کدگذاری (encode) شدهاند. متد m10 در کلاس sairwpw3.k7ngwog.ra0mef به عنوان رمزگشا عمل میکند، با این متد، موارد کد شده اصطلاحا رمزگشایی (decode) میشوند.
با آنالیز دینامیک این روش و مشاهده ورودی و خروجیهای آن به آدرس زیر میرسیم.
در آدرس بالا فایلی که نام آن از یک رشته طولانی تشکیل شده، قرار گرفته است. برنامه با خواندن نام این فایل و ترکیب با یک رشته دیگر و در نهایت آدرسهای C&C بدافزار را تولید میکند.
- SERVER39_sn2c4hg6fprb8.com
- SERVER40_sn3isv3hf36ef.com
- SERVER41_sn4yitf01o3pk.com
- SERVER42_sn5us1iw4h9rv.com
- SERVER43_sn1lwm3e04gwf.com
- SERVER44_sn6xs1hfa6x2o.com
این بدافزار دسترسیهای حساسی مانند فهرست برنامههای نصب شده، اپراتور و سریال و شماره سیمکارت، مخاطبین، پیامکها، موقعیت مکانی، دوربین، ضبط مکالمات، لیست مکالمات را دریافت میکند. علاوه بر این با تنظیم خود به عنوان برنامه پیشفرض تماس قابلیت پاسخ دادن به تماس یا رد آن و نیز حذف کردن مخاطبین، پیامکها و لاگ تماسها را در اختیار میگیرد. این برنامه برای انجام برخی از این موارد از دسترسی بسیار حساس accessibility service استفاده میکند. در این سرویس، عملکرد برنامههای تماس (dialer) به صورت لحظهای چک میشود.
کد کانفیگ accessibility service
تکنیکهای بدافزار
درصورت تبدیل فایل apk برنامه به فایل zip وخارج کردن از حالت فشرده، برنامه با خطای next volume required مواجه خواهد شد. بدان معنا که بدافزار به گونهای دستکاری شده که توسط برنامههای فشردهساز، به عنوان یک فایل زیپ چند قسمتی شناسایی میشود. البته با بررسی باینری فایل و ایجاد تغییراتی در امضای برنامه مشکل خارج کردن فایل برنامه از حالت فشرده رفع میشود.
روش مقابله و پاکسازی سیستم
برای ایجاد اطمینان از عدم آلودگی دستگاه، آنتی ویروس پادویش را نصب و فایل پایگاه داده آن را به روز نگهدارید و اسکن آنتی ویروس را انجام دهید.
روشهای پیشگیری از آلوده شدن گوشی:
- از دانلود و نصب برنامه از منابع و مارکتهای موبایلی نامعتبر خودداری کنید.
- هنگام نصب برنامههای موبایلی، به مجوزهای درخواستی آن دقت کنید. اگر برنامهای مجوزهای غیرمرتبط با فعالیت برنامه به ویژه مجوز accessibility service را درخواست کرد، در استفاده از آن حتما احتیاط کنید.