شرح کلی
نوع: تروجان (Trojan)
اسامی بدافزار:
Trojan.Android.Jocker.Snt
درجه تخریب: متوسط
میزان شیوع: متوسط
تروجان (Trojan) چیست؟
تروجانها بدافزارهایی هستند که خودشان را در قالب یک ابزار مفید و کاربردی معرفی میکنند. کاربر بر همین اساس آنها را دانلود و نصب کرده و بدون اطلاع از بدافزار بودن برنامه دریافت شده، سیستم خود را آلوده میکند. تروجانها معمولا پس از نصب در گوشی کاربر، به عنوان یک درب پشتی (Backdoor) برای دسترسی از راه دور هکرها به سیستم قربانی عمل میکنند. به عنوان مثال، بدافزاری که در ادامه بررسی میشود، به نظر میرسد کار مناسب و مفیدی انجام میدهد اما یک داده ناخواسته را روی سیستم نصب میکند.
بدافزار Jocker چیست؟
یک تروجان جاسوسی است که با وبسایتهای تبلیغاتی در تعامل بوده و کاربران را بدون اطلاع و رضایتشان عضو سرویسهای اشتراکی حق بیمه میکند. در واقع عملکرد این بدافزارها به این صورت است که کد اشتراکی که توسط این وبسایت برای کاربر ارسال میشود را استخراج کرده و خودش این کد را برای وبسایت حق بیمه ارسال میکند تا اینکه سرویس حق بیمه برای کاربر فعال شود. همچنین، پس از اجرا، یک فایل DEX را بارگیری و به طور پویا در راستای رسیدن به اهداف مخرب خود اجرا میکند. بدافزار Joker فقط به کشورهای مورد هدفش حمله میکند که بیشتر برنامههای آلوده دارای لیستی از کدهای تلفن همراه (MCC) هستند و بنابراین قربانی باید از سیم کارت یکی از این کشورها استفاده کند.
توضیحات فنی
نام این برنامه “Altar Message” است که در همان شروع با درخواستی از کاربر، خودش را به عنوان برنامه پیش فرض پیام کوتاه قرار میدهد. هدف بدافزار این است که در اصل کاربر را عضو سرویسهای حق بیمه کند و عملکرد آن به این صورت است که برحسب کد کشور (MCC) عمل عضویت را انجام میدهد. لینکهای اتصال به سایت مربوطه برای عضویت کاربر و پرداخت هزینه اشتراک به صورت کد شده (توسط الگوریتم رمزنگاری/رمزگشایی RSA) هستند.
عملكرد ظاهري اين برنامه به اين صورت است كه خودش را به عنوان برنامه پيش فرض پيام كوتاه تنظيم و گزینه نمایش اعلان (Show Notification) را برای برنامهاش فعال میکند (در صورتی که در حالت عادی اغلب برنامهها این دسترسی را ندارند). اما نکته قابل توجه این است که بلافاصله بعد از فعال کردن این گزینه، با استفاده از روش ()Cancel All نمایش کلیه اعلانها را غیرفعال میکند تا برای کاربر قابل مشاهده نباشند. سپس تمام اطلاعات پیامکها، پیامهای چند رسانهای (MMS)، شمارهها و اطلاعات مخاطبين و شمارههاي مسدود شده را جمعآوری میکند تا به ظاهر به كاربر خدمات پيامرساني ارائه دهد.
روال راه انداز (Loader path) این برنامه به صورت زیر است:
عملکرد کلی آن به این صورت است که ابتدا بررسی میکند که کد کشور کاربر برابر با “۳۱۰” (ایالات متحده آمریکا) و “۳۰۲” (کانادا) نباشد؛ در صورتی که این شرط برقرار باشد:
- با ادغام لینک “hxxp[:]//3[.]122[.]143[.]26/api/ckwkc2?icc=” (این لینک آلوده است) با رشتههای کد شدهی دیگر، آدرس URL ساخته و با استفاده از ()openConnection به این لینک متصل میشود. با بررسی صحت اتصال (getResponseCode() == 200) با تنظیم روش GET اقدام به دریافت اطلاعات از این لینک آلوده کرده و آن را در فایلی که ایجاد کرده است ذخیره میکند:
دسترسی به مسیر data/dalvik-cache و اجرای پویای فایل DEX دانلود شده:
- طی شرطی دو قسمتی بررسی میشود كه اگر كد كشور کاربر برابر با ايتاليا، اسپانيا، ميانمار و يا روسيه باشد و يا برنامه به مجوزهاي “android.permission.GET_ACCOUNTS” و “android.permission.READ_PHONE_STATE” و نيز به اعلانها دسترسي داشته باشد، آنگاه اقدام به مخفی کردن آیکون از ديد كاربر و همچنین بالا نگه داشتن برنامه خود میکند.
- همچنين، به محض دریافت اعلان با استفاده از روش getCharSequence و مؤلفه درون آن که به عنوان کلیدی برای واکشی و دسترسی به اطلاعات مورد نظر است، اطلاعات مورد نظرش را از اعلان دريافتي واکشی کرده و بلافاصله با استفاده از ()cancelAllNotifications نمایش اعلان را مخفی کرده تا کاربر متوجه آن نشود و بتواند مخفیانه اطلاعاتی را که میخواهد واکشی کند. اين عملكرد بدافزار در واقع برای این است كه بتواند محتواي تمام پيامكها را بخواند و بدون اينكه كاربر متوجه شود، كد تائيدي كه از طرف سايت يا شماره مورد نظرش ارسال ميشود را واكشي كرده و كاربر را عضو سرويسهاي اشتراك حق بيمه كند.
كد كشورهای (MCC) تنظیم شده در این بدافزار (۳۶ کشور مورد هدف) كه بعد از كدگشايي شامل جدول زير میشوند:
نام کشور | MCC |
ترکیه | 286 |
سوئد | 240 |
برزیل | 724 |
هند | 404 |
آرژانتین | 722 |
استراليا | 505 |
بلژیک | 206 |
قبرس | 280 |
اسپانيا | 214 |
فرانسه | 208 |
گورنسی (انگلستان) | 234 |
كويت | 419 |
لهستان | 260 |
سيبري | 220 |
سنگاپور | 525 |
اسلوونی | 293 |
امارات متحده عربی | 424 |
اندونزي | 510 |
ميانمارا | 414 |
اتریش | 232 |
هلند | 204 |
ايتاليا | 222 |
سوئیس | 228 |
ايرلند | 272 |
قطر | 427 |
آلمان | 262 |
یونان | 202 |
چين | 260 |
پرتغال | 268 |
روسيه | 520 |
مالزی | 502 |
فرانسه | 208 |
هندوراس | 708 |
ایالات متحده | 310 |
غنا | 620 |
کنگو | 242 |
روش مقابله و پاکسازی سیستم
برای اطمینان خاطر از عدم آلودگی دستگاه، آنتیویروس پادویش را نصب و فایل پایگاه داده آن را بهروز نگه دارید و اسکن آنتیویروس را انجام دهید.
روشهای پیشگیری از آلوده شدن گوشی:
۱. از دانلود و نصب برنامه از منابع و مارکتهای موبایلی نامعتبر خودداری کنید.
۲. هنگام نصب برنامههای موبایلی، به مجوزهای درخواستی دقت کنید.
۳. از فایلها و اطلاعات ذخیره شده در گوشی پشتیبانگیری مداوم انجام دهید.
۴. از نسخههای غیررسمی برنامهها استفاده نکنید. برنامههایی مانند تلگرام و اینستاگرام نسخههای غیررسمی زیادی دارند و بیشتر آنها از طریق کانالهای تلگرامی انتشار مییابند.