شرح کلی
نوع: تروجان (Trojan)
اسامی بدافزار:
Trojan.Android.GoodNews.G
درجه تخریب: متوسط
میزان شیوع: متوسط
تروجان (Trojan) چیست؟
تروجانها بدافزارهایی هستند که خودشان را در قالب یک ابزار مفید و کاربردی معرفی میکنند. کاربر بر همین اساس آنها را دانلود و نصب کرده و بدون اطلاع از بدافزار بودن برنامه دریافت شده، سیستم خود را آلوده میکند. تروجانها معمولا پس از نصب در گوشی کاربر، به عنوان یک درب پشتی (Backdoor) برای دسترسی از راه دور هکرها به سیستم قربانی عمل میکنند. به عنوان مثال، بدافزاری که در ادامه بررسی میشود، به نظر میرسد کار مناسب و مفیدی انجام میدهد اما یک داده ناخواسته را روی سیستم نصب میکند.
خانواده بدافزاری GoodNews چیست؟
این خانواده از بدافزارها این قابلیت را دارند که خود را در گوشی دیگر کاربران انتشار دهند.
توضیحات فنی
نام این بدافزار “Tiktok v2” یا “تیک تاک” و یکی از محبوبترین برنامهها در سطح جهانی است. در این برنامه، کاربران میتوانند ویدیوهایی کوتاه را همراه با موسیقی پس زمینه به اشتراک بگذارند. در همان مرحله اولیه اجرای بدافزار، یک progress bar جعلی نمایش داده شده و متوقف میشود اما در پس زمینه عملیات مخرب خود را انجام میدهد. هدف اصلی این بدافزار، انتشار هرچه بیشتر در دنیا و نمایش تبلیغات است.
بدافزار برای دریافت مجوزهای مهم و خطرناک زیر اقدام کرده و بررسی میکند که آیا این مجوزها را دارد یا خیر؛ در صورتی که همه مجوزهای مورد نظرش را داشته باشد، به سرویس Act منتقل میشود. همچنین، برای نمایش تبلیغات، سرویس تبلیغاتی AppLovin را اجرا میکند (AppLovin سرویسی است که موبایل کاربر را به وسیلهای برای تبلیغ کنندگان تبدیل میکند).
“android.permission.READ_CONTACTS”
“android.permission.SEND_SMS”
“android.permission.READ_PHONE_STATE”
“android.permission.ACCESS_COARSE_LOCATION”
“android.permission.ACCESS_FINE_LOCATION”
سرویس Act
ـ با هدف مشخص کردن اینکه چه سیمکارتهایی (مربوط به کدام اپراتور) فعال هستند، از روش getActiveSubscriptionInfoList (روشی برای دریافت اطلاعات سیمکارت(های) فعال) استفاده شده است.
ـ سپس، با استفاده از دریافت شناسه پیامهای متنی دریافتی، وجود هر یک از رشتههای “JIO” ، “AIRTEL” ، “IDEA” و یا “VODAFONE”را بررسی میکند؛ اگر موجود باشد به این معناست که اپراتور سیمکارت مربوط به کشور هند است (“JIO” ، “AIRTEL” ،”IDEA” و “VODAFONE” شرکتهای مخابراتی کشور هند هستند).
_ در ادامه و در صورتی که سیمکارت قربانی مربوط به شرکت Jio باشد و موجودی کافی برای ارسال پیامک را نداشته باشد، از طریق Jio Recharge API اقدام به شارژ فوری سیمکارت قربانی میکند و به این منظور پیش شمارههای کشور هند مربوط به اپراتور Jio (مثلا 916000 – 916001 – 916002 و …) را بررسی میکند.
ـ پس از انجام عملیات و بررسیهای لازم در رابطه با اپراتور سیمکارت قربانی و با هدف انتشار هرچه بیشتر خود، پیامکی را به مخاطبین ذخیره شده در گوشی کاربر ارسال میکند. به این شکل که داده رمزگذاری شده در کد برنامه را پس از رمزگشایی و در فواصل زمانی متفاوت (تصادفی) به تمام مخاطبین ذخیره شده در گوشی قربانی ارسال میکند که این پیامک حاوی لینک آلوده دانلود فایل apk است.
داده رمزگذاری شده در کد برنامه با استفاده از الگوریتم رمزگذاری “DESede”:
j = "l5Q4G1VH164J/NrvvFUoj6rZr79IRw5LxyUn/gwDVNCPjY4/z7ly2vojbWGLGgBICxC9sbkTfV8umak8zLm7qDhsKHaqxmuAn18J9YPq1sKC/8wmNlpdbr5SPb/TalS7VDh+FZ4Vm53v+pz2DaikXSvLyLZ71b3S5GGXLyaEIPmZwUS/WgNcS50dFHbMyApliSUqUJfX1CY="
رمزگشایی داده رمزگذاری شده با استفاده از کلید موجود (“”ThisIsSpartaThisIsSparta) در کد برنامه که طبق متن، بدافزار کاربران را به نصب نسخه جدید برنامه تیک تاک ترغیب میکند:
Tiktok is back in IndiaNow
make Creative videosagain with new features
Download new (Tiktok v2)from below
Link: hxxp[:]//tiny[.]cc/Tiktok-v2
لینک hxxp[:]//tiny[.]cc/Tiktok-v2 (این لینک و فایلی که از این طریق دانلود میشود آلوده است) لینک دانلود فایل apk بوده و پس از ارسال این پیامک به مخاطبین قربانی، روال مخربی برای نشر هرچه بیشتر برنامه صورت میگیرد، که به شکل زیر خواهد بود:
۱) دیگر قربانیان، پیامکی که حاوی لینک آلوده دانلود است را دریافت میکنند.
۲) به محض کلیک روی لینک آلوده، بدافزار دانلود میشود.
۳) قربانیان برنامه آلوده را روی گوشی هوشمند خود نصب میکنند.
۴) برنامه آلوده اجرا میشود و مجددا روال مخربی که در بالا توضیح داده شد شروع شده و به طور گسترده تری ادامه پیدا میکند.
روش مقابله و پاکسازی سیستم
برای اطمینان خاطر از عدم آلودگی دستگاه، آنتیویروس پادویش را نصب و فایل پایگاه داده آن را بهروز نگه دارید و اسکن آنتیویروس را انجام دهید.
روشهای پیشگیری از آلوده شدن گوشی:
۱. از دانلود و نصب برنامه از منابع و مارکتهای موبایلی نامعتبر خودداری کنید.
۲. هنگام نصب برنامههای موبایلی، به مجوزهای درخواستی دقت کنید.
۳. از فایلها و اطلاعات ذخیره شده در گوشی پشتیبانگیری مداوم انجام دهید.
۴. از نسخههای غیررسمی برنامهها استفاده نکنید. برنامههایی مانند تلگرام و اینستاگرام نسخههای غیررسمی زیادی دارند و بیشتر آنها از طریق کانالهای تلگرامی انتشار مییابند.