Trojan.Android.Jocker

شرح کلی

نوع: تروجان (Trojan)
اسامی بدافزار:
Trojan.Android.Jocker.Snt
درجه تخریب: متوسط
میزان شیوع: متوسط

تروجان (Trojan) چیست؟

تروجان‌ها بدافزارهایی هستند که خودشان را در قالب یک ابزار مفید و کاربردی معرفی می‌کنند. کاربر بر همین اساس آنها را دانلود و نصب کرده و بدون اطلاع از بدافزار بودن برنامه دریافت شده، سیستم خود را آلوده می‌کند. تروجان‌ها معمولا پس از نصب در گوشی کاربر، به عنوان یک درب پشتی (Backdoor) برای دسترسی از راه دور هکرها به سیستم قربانی عمل می‌کنند. به عنوان مثال، بدافزاری که در ادامه بررسی می‌شود، به نظر می‌رسد کار مناسب و مفیدی انجام می‌دهد اما یک داده ناخواسته را روی سیستم نصب می‌کند.

Jocker چیست؟

یک تروجان جاسوسی است که با وب‌سایت‌های تبلیغاتی در تعامل بوده و کاربران را بدون اطلاع و رضایتشان عضو سرویس‌های اشتراکی حق بیمه می‌کند. در واقع عملکرد این بدافزارها به این صورت است که کد اشتراکی که توسط این وب‌سایت برای کاربر ارسال می‌شود را استخراج کرده و خودش این کد را برای وب‌سایت حق بیمه ارسال می‌کند تا اینکه سرویس حق بیمه برای کاربر فعال شود. همچنین، پس از اجرا، یک فایل DEX را بارگیری و به طور پویا در راستای رسیدن به اهداف مخرب خود اجرا می‌کند. بدافزار Joker فقط به کشورهای مورد هدفش حمله می‌کند که بیشتر برنامه‌های آلوده دارای لیستی از کدهای تلفن همراه (MCC) هستند و بنابراین قربانی باید از سیم کارت یکی از این کشورها استفاده کند.

توضیحات فنی

نام این برنامه “Altar Message” است که در همان شروع با درخواستی از کاربر، خودش را به عنوان برنامه پیش فرض پیام کوتاه قرار می‌دهد. هدف بدافزار این است که در اصل کاربر را عضو سرویس‌های حق بیمه کند و عملکرد آن به این صورت است که برحسب کد کشور (MCC) عمل عضویت را انجام می‌دهد. لینک‌های اتصال به سایت مربوطه برای عضویت کاربر و پرداخت هزینه اشتراک به صورت کد شده (توسط الگوریتم رمزنگاری/رمزگشایی RSA) هستند.

عملكرد ظاهري اين برنامه به اين صورت است كه خودش را به عنوان برنامه پيش فرض پيام‌ كوتاه تنظيم و گزینه نمایش اعلان (Show Notification) را برای برنامه‌اش فعال می‌کند (در صورتی که در حالت عادی اغلب برنامه‌ها این دسترسی را ندارند). اما نکته قابل توجه این است که بلافاصله بعد از فعال کردن این گزینه، با استفاده از روش ()Cancel All نمایش کلیه اعلان‌ها را غیرفعال می‌کند تا برای کاربر قابل مشاهده نباشند. سپس تمام اطلاعات پیامک‌ها، پیام‌های چند رسانه‌ای (MMS)، شماره‌ها و اطلاعات مخاطبين و شماره‌هاي مسدود شده را جمع‌آوری می‌کند تا به ظاهر به كاربر خدمات پيام‌رساني ارائه دهد.

 

 

روال راه انداز (Loader path) این برنامه به صورت زیر است:

عملکرد کلی آن به این صورت است که ابتدا بررسی می‌کند که کد کشور کاربر برابر با “۳۱۰” (ایالات متحده آمریکا) و “۳۰۲” (کانادا) نباشد؛ در صورتی که این شرط برقرار باشد:

  • با ادغام لینک “hxxp[:]//3[.]122[.]143[.]26/api/ckwkc2?icc=” (این لینک آلوده است) با رشته‌های کد شده‌ی دیگر، آدرس URL ساخته و با استفاده از ()openConnection به این لینک متصل می‌شود. با بررسی صحت اتصال (getResponseCode() == 200) با تنظیم روش GET اقدام به دریافت اطلاعات از این لینک آلوده کرده و آن را در فایلی که ایجاد کرده است ذخیره می‌کند:

 

 

دسترسی به مسیر data/dalvik-cache و اجرای پویای فایل DEX دانلود شده:

 

 

  • طی شرطی دو قسمتی بررسی می‌شود كه اگر كد كشور کاربر برابر با ايتاليا، اسپانيا، ميانمار و يا روسيه باشد و يا برنامه به مجوزهاي “android.permission.GET_ACCOUNTS” و “android.permission.READ_PHONE_STATE” و نيز به اعلان‌ها دسترسي داشته باشد، آن‌گاه اقدام به مخفی کردن آیکون از ديد كاربر و همچنین بالا نگه داشتن برنامه خود می‌کند.
  • همچنين، به محض دریافت اعلان با استفاده از روش getCharSequence و مؤلفه درون آن که به عنوان کلیدی برای واکشی و دسترسی به اطلاعات مورد نظر است، اطلاعات مورد نظرش را از اعلان دريافتي واکشی کرده و بلافاصله با استفاده از ()cancelAllNotifications نمایش اعلان را مخفی کرده تا کاربر متوجه آن نشود و بتواند مخفیانه اطلاعاتی را که می‌خواهد واکشی کند. اين عملكرد بدافزار در واقع برای این است كه بتواند محتواي تمام پيامك‌ها را بخواند و بدون اينكه كاربر متوجه شود، كد تائيدي كه از طرف سايت يا شماره مورد نظرش ارسال مي‌شود را واكشي كرده و كاربر را عضو سرويس‌هاي اشتراك حق بيمه كند.

كد كشورهای (MCC) تنظیم شده در این بدافزار (۳۶ کشور مورد هدف) كه بعد از كدگشايي شامل جدول زير می‌شوند:

 

 

نام کشور MCC
ترکیه 286
سوئد 240
برزیل 724
هند 404
آرژانتین 722
استراليا 505
بلژیک 206
قبرس 280
اسپانيا 214
فرانسه 208
گورنسی (انگلستان) 234
كويت 419
لهستان 260
سيبري 220
سنگاپور 525
اسلوونی 293
امارات متحده عربی 424
اندونزي 510
ميانمارا 414
اتریش 232
هلند 204
ايتاليا 222
سوئیس 228
ايرلند 272
قطر 427
آلمان 262
یونان 202
چين 260
پرتغال 268
روسيه 520
مالزی 502
فرانسه 208
هندوراس 708
ایالات متحده 310
غنا 620
کنگو 242

روش مقابله و پاک‌سازی سیستم

برای اطمینان خاطر از عدم آلودگی دستگاه، آنتی‌ویروس پادویش را نصب و فایل پایگاه داده آن را به‌روز نگه دارید و اسکن آنتی‌ویروس را انجام دهید.

روش‌های پیشگیری از آلوده شدن گوشی:

۱. از دانلود و نصب برنامه از منابع و مارکت‌های موبایلی نامعتبر خودداری کنید.

۲. هنگام نصب برنامه‌های موبایلی، به مجوزهای درخواستی دقت کنید.

۳. از فایل‌ها و اطلاعات ذخیره شده در گوشی پشتیبان‌گیری مداوم انجام دهید.

۴. از نسخه‌های غیررسمی برنامه‌ها استفاده نکنید. برنامه‌هایی مانند تلگرام و اینستاگرام نسخه‌های غیررسمی زیادی دارند و بیشتر آنها از طریق کانال‌های تلگرامی انتشار می‌یابند.

پاسخ دهید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>