Trojan.Android.Fakecalls.Banker

شرح کلی

نوع: تروجان
درجه تخریب: متوسط
میزان شیوع: متوسط

تروجان(Trojan) چیست؟

تروجان‌ها نوعی از بدافزارها محسوب می‌شوند که خود را در قالب نرم‌افزاری سالم و قانونی نشان می‌دهند و بسیار شبیه نرم‌افزارهای مفید و کاربردی رفتار می‌کنند. اما هنگامی ‌که اجرا می‌شوند، خرابی‌های زیادی را برای سیستم ایجاد می‌کنند. از جمله راه‌های ورود تروجان‌ها به سیستم: نرم‌افزارهای دانلود شده از اینترنت، جاساز شدن در متن HTML، ضمیمه شدن به یک ایمیل و … هستند. تروجان‌ها برخلاف ویروس‌ها و کرم‌های کامپیوتری قادر به تکثیر خود نیستند.

خانواده بدافزاری Fake Call چیست؟

fake call یک خانواده بدافزاری از دسته تروجان‌ها است. این تروجان بانکی تحت عنوان یک نرم‌افزار بانکی عمل می‌‌‎کند. روش کار این نوع بدافزارها voice phishing است. روند فیشینگ صوتی در این خانواده بدافزاری بدین صورت است که هکر با عنوان جعلی کارمند بانک با قربانی هدف تماس می‌گیرد و به فریفتن او می‌پردازد. قربانی فریب پیشنهادات دروغین و جذاب وام با نرخ بهره پایین را می‌خورد. مکالمه صوری در حالی اتفاق می‌افتد که شماره تلفن متعلق به اپراتورهای بدافزار با یک شماره بانک واقعی جایگزین می‌شود. بنابراین قربانی چنین تصور می‌کند که با یک بانک و کارمند واقعی گفتگو داشته است. پس از ایجاد اعتماد، قربانی فریب داده می‌شود تا جزئیات کارت اعتباری خود را تایید کند.

توضیحات فنی

علائم آلودگی

  • درخواست مجوزهای خطرناک
  • درخواست مجوز accessibility

❌ هنگامی که برنامه نصب می‌شود، علی‌رغم موفقیت‌آمیز بودن نصب آن، اما آیکون برنامه مشاهده نمی‌شود.

صفحه برنامه به شکل زیر است:

Fake Call

ابتدا از کاربر فعال‌سازی گزینه run in background برای برنامه درخواست می‌شود. پس از آن با جملاتی به زبان کره‌ای (معادل انگلیسی آن: In order to use the app, you must allow to use the normal service) از کاربر تقاضا می‌شود که accessibility service را در تنظیمات برنامه فعال کند.
پس از فعال‌سازی برنامه صفحه زیر مشاهده می‌شود. بر روی دکمه سبز عبارت Installation setup is complete نوشته شده است.

Fake Call 2

  • پس از فعال کردن accessibility مجوزهای حین اجرا نهایتا از کاربر تنظیم بدافزار به عنوان برنامه پیش فرض تماس درخواست می‌شود.

شرح عملکرد

با نگاهی کلی به کدهای برنامه مشخص می‌شود موارد مهم برنامه اعم از نام برخی متدها و رشته‌ها کدگذاری (encode) شده‌اند. متد m10 در کلاس sairwpw3.k7ngwog.ra0mef به عنوان رمزگشا عمل می‌کند، با این متد، موارد کد شده اصطلاحا رمزگشایی (decode) می‌شوند.

متد m10 در کلاس sairwpw3.k7ngwog.ra0mef

 

با آنالیز دینامیک این روش و مشاهده ورودی و خروجی‌های آن به آدرس زیر می‌رسیم.

شرح عملکرد

 

در آدرس بالا فایلی که نام آن از یک رشته طولانی تشکیل شده، قرار گرفته است. برنامه با خواندن نام این فایل و ترکیب با یک رشته دیگر و در نهایت آدرس‌های C&C بدافزار را تولید می‌کند.

  • SERVER39_sn2c4hg6fprb8.com
  • SERVER40_sn3isv3hf36ef.com
  • SERVER41_sn4yitf01o3pk.com
  • SERVER42_sn5us1iw4h9rv.com
  • SERVER43_sn1lwm3e04gwf.com
  • SERVER44_sn6xs1hfa6x2o.com

این بدافزار دسترسی‌های حساسی مانند فهرست برنامه‌های نصب شده، اپراتور و سریال و شماره سیم‌کارت، مخاطبین، پیامک‌ها، موقعیت مکانی، دوربین، ضبط مکالمات، لیست مکالمات را دریافت می‌کند. علاوه بر این با تنظیم خود به عنوان برنامه پیش‌فرض تماس قابلیت پاسخ دادن به تماس یا رد آن و نیز حذف کردن مخاطبین، پیامک‌ها و لاگ تماس‌ها را در اختیار می‌گیرد. این برنامه برای انجام برخی از این موارد از دسترسی بسیار حساس accessibility service استفاده می‌کند. در این سرویس، عملکرد برنامه‌های تماس (dialer) به صورت لحظه‌ای چک می‌شود.

کد کانفیگ accessibility service

کد کانفیگ accessibility service

 

تکنیک‌های بدافزار

درصورت تبدیل فایل apk برنامه به فایل zip وخارج کردن از حالت فشرده،‌ برنامه با خطای next volume required مواجه خواهد شد. بدان معنا که بدافزار به گونه‌ای دست‌کاری شده که توسط برنامه‌های فشرده‌ساز، به عنوان یک فایل زیپ چند قسمتی شناسایی می‌شود. البته با بررسی باینری فایل و ایجاد تغییراتی در امضای برنامه مشکل خارج کردن فایل برنامه از حالت فشرده رفع می‌شود.

روش مقابله و پاک‌سازی سیستم

برای ایجاد اطمینان از عدم آلودگی دستگاه، آنتی ویروس پادویش را نصب و فایل پایگاه داده آن را به‌ روز نگهدارید و اسکن آنتی ویروس را انجام دهید.

روش‌های پیشگیری از آلوده شدن گوشی:

  • از دانلود و نصب برنامه از منابع و مارکت‌های موبایلی نامعتبر خودداری کنید.
  • هنگام نصب برنامه‌های موبایلی، به مجوزهای درخواستی آن دقت کنید. اگر برنامه‌ای مجوزهای غیرمرتبط با فعالیت برنامه به ویژه مجوز accessibility service را درخواست کرد، در استفاده از آن حتما احتیاط کنید.