Trojan.Android.GoodNews

شرح کلی

نوع: تروجان (Trojan)
اسامی بدافزار:
Trojan.Android.GoodNews.G
درجه تخریب: متوسط
میزان شیوع: متوسط

تروجان (Trojan) چیست؟

تروجان‌ها بدافزارهایی هستند که خودشان را در قالب یک ابزار مفید و کاربردی معرفی می‌کنند. کاربر بر همین اساس آنها را دانلود و نصب کرده و بدون اطلاع از بدافزار بودن برنامه دریافت شده، سیستم خود را آلوده می‌کند. تروجان‌ها معمولا پس از نصب در گوشی کاربر، به عنوان یک درب پشتی (Backdoor) برای دسترسی از راه دور هکرها به سیستم قربانی عمل می‌کنند. به عنوان مثال، بدافزاری که در ادامه بررسی می‌شود، به نظر می‌رسد کار مناسب و مفیدی انجام می‌دهد اما یک داده ناخواسته را روی سیستم نصب می‌کند.

خانواده بدافزاری GoodNews چیست؟

این خانواده از بدافزارها این قابلیت را دارند که خود را در گوشی دیگر کاربران انتشار دهند.

توضیحات فنی

نام این بدافزار “Tiktok v2” یا تیک تاک” و یکی از محبوب‌ترین برنامه‌ها در سطح جهانی است. در این برنامه، کاربران می‌توانند ویدیوهایی کوتاه را همراه با موسیقی پس زمینه به اشتراک بگذارند. در همان مرحله اولیه اجرای بدافزار، یک progress bar جعلی نمایش داده شده و متوقف می‌شود اما در پس زمینه عملیات مخرب خود را انجام می‌دهدهدف اصلی این بدافزار، انتشار هرچه بیشتر در دنیا و نمایش تبلیغات است.

    

بدافزار برای دریافت مجوزهای مهم و خطرناک زیر اقدام کرده و بررسی می‌کند که آیا این مجوزها را دارد یا خیر؛ در صورتی که همه مجوزهای مورد نظرش را داشته باشد، به سرویس Act منتقل می‌شودهمچنین، برای نمایش تبلیغات، سرویس تبلیغاتی AppLovin را اجرا می‌کند (AppLovin سرویسی است که موبایل کاربر را به وسیله‌ای برای تبلیغ کنندگان تبدیل می‌کند).

“android.permission.READ_CONTACTS”

“android.permission.SEND_SMS”

“android.permission.READ_PHONE_STATE”

“android.permission.ACCESS_COARSE_LOCATION”

“android.permission.ACCESS_FINE_LOCATION”

سرویس Act

ـ با هدف مشخص کردن اینکه چه سیم‌کارت‌هایی (مربوط به کدام اپراتور) فعال هستند، از روش getActiveSubscriptionInfoList (روشی برای دریافت اطلاعات سیمکارت(های) فعال) استفاده شده است.

ـ سپس، با استفاده از دریافت شناسه پیام‌های متنی دریافتی، وجود هر یک از رشته‌های “JIO” ، “AIRTEL” ، “IDEA” و یا “VODAFONE”را بررسی می‌کند؛ اگر موجود باشد به این معناست که اپراتور سیم‌کارت مربوط به کشور هند است (“JIO” ، “AIRTEL” ،”IDEA” و “VODAFONE” شرکت‌های مخابراتی کشور هند هستند).

_ در ادامه و در صورتی که سیم‌کارت قربانی مربوط به شرکت Jio باشد و موجودی کافی برای ارسال پیامک را نداشته باشد، از طریق Jio Recharge API اقدام به شارژ فوری سیم‌کارت قربانی می‌کند و به این منظور پیش شماره‌های کشور هند مربوط به اپراتور Jio  (مثلا 916000 – 916001 – 916002 و …) را بررسی می‌کند.

ـ پس از انجام عملیات و بررسی‌های لازم در رابطه با اپراتور سیم‌کارت قربانی و با هدف انتشار هرچه بیشتر خود، پیامکی را به مخاطبین ذخیره شده در گوشی کاربر ارسال می‌کند. به این شکل که داده رمزگذاری شده در کد برنامه را پس از رمزگشایی و در فواصل زمانی متفاوت (تصادفی) به تمام مخاطبین ذخیره شده در گوشی قربانی ارسال می‌کند که این پیامک حاوی لینک آلوده دانلود فایل apk است.

داده رمزگذاری شده در کد برنامه با استفاده از الگوریتم رمزگذاری “DESede”:

j = "l5Q4G1VH164J/NrvvFUoj6rZr79IRw5LxyUn/gwDVNCPjY4/z7ly2vojbWGLGgBICxC9sbkTfV8umak8zLm7qDhsKHaqxmuAn18J9YPq1sKC/8wmNlpdbr5SPb/TalS7VDh+FZ4Vm53v+pz2DaikXSvLyLZ71b3S5GGXLyaEIPmZwUS/WgNcS50dFHbMyApliSUqUJfX1CY="

رمزگشایی داده رمزگذاری شده با استفاده از کلید موجود (“”ThisIsSpartaThisIsSparta) در کد برنامه که طبق متن، بدافزار کاربران را به نصب نسخه جدید برنامه تیک تاک ترغیب می‌کند:

Tiktok is back in IndiaNow

make Creative videosagain with new features

Download new (Tiktok v2)from below

Link: hxxp[:]//tiny[.]cc/Tiktok-v2

لینک hxxp[:]//tiny[.]cc/Tiktok-v2 (این لینک و فایلی که از این طریق دانلود می‌شود آلوده است) لینک دانلود فایل apk بوده و پس از ارسال این پیامک به مخاطبین قربانی، روال مخربی برای نشر هرچه بیشتر برنامه صورت می‌گیرد، که به شکل زیر خواهد بود:

۱) دیگر قربانیان، پیامکی که حاوی لینک آلوده دانلود است را دریافت می‌کنند.

۲) به محض کلیک روی لینک آلوده، بدافزار دانلود می‌شود.

۳) قربانیان برنامه آلوده را روی گوشی هوشمند خود نصب می‌کنند.

۴) برنامه آلوده اجرا می‌شود و مجددا روال مخربی که در بالا توضیح داده شد شروع شده و به طور گسترده تری ادامه پیدا می‌کند.

روش مقابله و پاک‌سازی سیستم

برای اطمینان خاطر از عدم آلودگی دستگاه، آنتی‌ویروس پادویش را نصب و فایل پایگاه داده آن را به‌روز نگه دارید و اسکن آنتی‌ویروس را انجام دهید.

روش‌های پیشگیری از آلوده شدن گوشی:

۱. از دانلود و نصب برنامه از منابع و مارکت‌های موبایلی نامعتبر خودداری کنید.

۲. هنگام نصب برنامه‌های موبایلی، به مجوزهای درخواستی دقت کنید.

۳. از فایل‌ها و اطلاعات ذخیره شده در گوشی پشتیبان‌گیری مداوم انجام دهید.

۴. از نسخه‌های غیررسمی برنامه‌ها استفاده نکنید. برنامه‌هایی مانند تلگرام و اینستاگرام نسخه‌های غیررسمی زیادی دارند و بیشتر آنها از طریق کانال‌های تلگرامی انتشار می‌یابند.

پاسخ دهید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>