Trojan.Android.Phishing.GameCo

شرح کلی

نوع: Trojan
اسامی بدافزار:
Trojan.Android.Phishing.GameCo
درجه تخریب: متوسط
میزان شیوع: متوسط

فیشینگ (Phishing) چیست؟

فیشینگ یک تکنیک مهندسی اجتماعی است که مهاجم به وسیله آن کاربر را گمراه کرده و اطلاعات شخصی وی شامل نام کاربري، کلمه ي عبور، شماره ۱۶ رقمی کارت بانکی، رمز دوم و CVV2 و موارد دیگر را به سرقت می‌برد. شیوه‌های متداول و رایج در فیشینگ استفاده از ایمیل‌های فریبنده و قراردادن لینک‌های آلوده در ایمیل، شبکه‌های اجتماعی و درگاه‌های پرداخت بانک می‌باشد. برای حملات فیشینگ روش‌های مختلفی وجود دارد، یکی از این روش‌ها این است که مهاجمان صفحه‌ای مشابه درگاه پرداخت بانک‌ها طراحی می‌کنند و آن را جایگزین صفحه اصلی درگاه بانکی می‌کنند. با قرار دادن آدرس این صفحه جعلی در اپلیکیشن‌هایی که در شبکه‌های اجتماعی برای دانلود می‌گذارند و با ارائه پیشنهادهای وسوسه کننده خرید، سعی می‌کنند شما را وادار کنند وارد صفحه پرداخت جعلی که طراحی کرده اند بشوید و وجه را انتقال دهید. آدرس‌هایی که تنها تفاوت آنها با آدرس اصلی یک یا دو حرف است یا از دامین‌های فرعی گمراه کننده برای ایجاد آن‌ها استفاده شده است.

بدافزار GameCo چیست؟

کاربران اپلیکیشن‌هایی با نام‌های “PES 2019 EVOLUTION SOCCER” ، “خرید شارژ نصف قیمت” ،”ESET mobile security” و “بازی‌هایی با نام‌های مستهجن” که همگی دارای یک packagename به نام “ir.game.co” هستند را از شبکه های اجتماعی دانلود و نصب می‌کنند. نحوه آلوده شدن کاربران به این دسته از بدافزارها، معمولا از طریق تبلیغات این برنامه‌ها در کانال‌های تلگرامی و یا اینستاگرام می‌باشد. اغلب مهاجمان با ترغیب کاربران در جهت دستیابی به امکانات بیشتر در برنامه‌های نصب شده، از پرداخت‌های درون برنامه‌ای استفاده می‌کنند.

در این گزارش به طور مثال اپلیکیشن “PES 2019 EVOLUTION SOCCER” را بررسی می‌کنیم. این برنامه ادعا می‌کند که با پرداخت هزینه، به شما امکان مشاهده و استفاده از امکانات بازی را می‌دهد. اما در واقع صفحه پرداخت آن یک صفحه پرداخت جعلی بوده که اقدام به سرقت اطلاعات حساب بانکی کاربران می‌نماید. همچنین این برنامه دارای پکیج‌های تبلیغاتی برای نمایش تبلیغات در برنامه، نیز می‌باشد. بدافزارنویس، صفحات جعلی پرداخت را بر روی host های رایگان که عموما فیلتر هستند قرار داده است، در نتیجه برای اینکه بتواند صفحات جعلی پرداخت را برای کاربر باز کند، کاربر را ملزم می‌کند که برای دستیابی به امکانات برنامه از فیلترشکن استفاده کند. به طور مثال در این اپلیکیشن برای دستیابی به این هدف، اینگونه وانمود می‌کند که “به علت خارجی بودن برخی سرور‌های پشتیبانی آفلاین برای اجرای بدون مشکل برنامه از فیلترشکن استفاده کنید”.

توضیحات فنی

در این اپلیکیشن برای اتصال به اینترنت و دریافت دیتا از کلاس DownloadTask، استفاده شده است و برای نمایش اطلاعات ورودی در ویوهای اکتیویتی اصلی، از فایل‌های json که در مسیر assets برنامه قرار گرفته اند، استفاده می‌شود. فایل‌های json به نام‌های (datas/data.json و menu/menu.json و title/title.json) است. هریک از این اطلاعات مختص به یک ویو خاص در اکتیویتی های مختلف برنامه می‌باشند. اطلاعات فایل json پارس شده و کد مربوط به هربخش، جهت نمایش در ویو مدنظر لود می‌شود.

بعد از پارس شدن فایل‌های json و اجرای کدهای آنها در برنامه، اهداف زیر دنبال می‌شود:

  • با فشرده شدن کلیدهای “کانال ما” و “پشتیبانی” ، یک اینتنت توسط اندروید ‫برای باز کردن آدرس‌های “https://telegram.me/joinchat/AAAAAEFEG5G1Ym_DVHK-Vw” و “https://telegram.me/joinchat/AAAAAEHQb0xPRcm6t3_1qA”به مرورگر ارسال می‌شود.
  • با فشرده شدن کلید “فعالسازی بازی” ، یک اینتنت توسط اندروید برای باز کردن آدرس “https://newhoster.000webhostapp.com/Source/Saman/payment=5698542365.php?amount=20000” به مرورگر ارسال می‌شود. این آدرس در واقع صفحه جعلی “درگاه بانکی” می‌باشد که کاربر به سمت آن ارجاع داده می‌شود.
  • اگر کاربر برروی گزینه “راهنمای بازی و اجرا” کلیک کند. اکتیویتی مربوطه باتوجه به اطلاعات فایل json که در مسیر assets/data/1.json قرار گرفته است، لود شده و به کاربر نمایش داده می‌شود. در توضیحات نمایش داده شده، ذکر می‌شود که “به علت خارجی بودن برخی سرور‌های پشتیبانی آفلاین، برای اجرای بدون مشکل برنامه از فیلترشکن استفاده کنید”.
  • در این برنامه قسمتی به نام “جهت فعالسازی از دکمه زیر استفاده کنید” وجود دارد که به محض کلیک برروی آن مستقیما کاربر به سمت صفحه پرداخت جعلی درگاه بانکی “https://newhoster.000webhostapp.com/Source/Saman/payment=5698542365.php?amount=20000” ارجاع داده می‌شود. در این بخش، به محض وارد کردن اطلاعات کارت بانکی کاربر و فشردن دکمه پرداخت، تمام اطلاعات کارت بانکی کاربر برای سرور مهاجم “https://newhoster.000webhostapp.com/Source/Saman/token.php” ارسال می‌شود. بدین‌ترتیب مهاجم با در دست داشتن کل اطلاعات کارت بانکی، می‌تواند به راحتی از حساب کاربر برداشت کند.

 

سایر نمونه‌ها و URLهای آلوده:

نمونه‌های دیگری از این خانواده را در جدول زیر مشاهده می‌کنید. هش(MD5) هریک از این اپلیکیشن‌ها در جدول موجود است و روبروی هرکدام، URLهایی مشخص شده که به‌عنوان درگاه پرداخت بانکی جعلی، برای هر نمونه می‌باشد. به محض کلیک کاربر جهت پرداخت‌های درون برنامه‌ای، به سمت URL آلوده هدایت می‌شود و با وارد کردن اطلاعات کارت بانکی، این اطلاعات به سمت سرور مهاجم ارسال خواهد شد. بسیاری از این سرورها غیرفعال شده‌اند ولی تعدادی از آنها ازجمله نمونه‌ای که در بالا توضیح داده شده، هم اکنون فعال هستند.

URL MD5
http://fast-p-a-y.ga/Asan-Pardakht-12 65af54d4e7dc62e0f7ba954d48c9dea4
http://panel.kakopay.com/startpay/paylink/4A6560938F 985558b2085182fe5bf9c1477953c779
http://pay.warlord.it/reza-moqadam/payment=5698542365.php?amount=15000 9ed6fad40e6705e5d466cb2cec202e35
http://dargah-sighehe.tk/eh/pay?random=8662239 728c7e6e5bc12f7ffa2411c32dc26012
http://goo.gl/eAi4th 581d0d936b410726e82ae1cae2e016e8
http://panel.javadpay.com/startpay/paylink/8E412751CB b5f0a7e66360bb162fd2648e4c6cd402
http://shaparak.life/payment=11543459sh?amount=20000 4a63cf04a647d1b116582b94c1142758
https://ranjbarpay.com/bmp-shaparak/payment=11543459sh?amount=20%2C000 26233c8989add48251454cf39399c0e5
http://sep-shaparakea.ml/payx 3b99a9c10eb8ec5b0cec385f7eea1c90
http://asan.samanpay.info//payment=11543459sh?amount=10%2C000 89244a6d35a0c179a83896a43ede629f
http://panel.baranpall.com/startpay/paylink/9330CC0884 6a967f989b33189230850e925251b8b2
http://goo.gl/KbYVJR b99cadd8778f8bff3d4ca026dc1853f7
http://fucku4.tk 9fa5c2b39c987ced99c00e7addabdc0c
http://ertyyfjkhklkdthffxdhdcfhndctgnhdfhshtrdtfytj.xyz/payment.html bbc59207bd1bb1e056f53ce010f50140
http://panel.baranpall.com/startpay/paylink/47AD5E6698 1a15fdd7b3836c4a8fb422c778b5903e
http://media-tarfand-page.tk/Saman a66cc4fe3524ddd700b5ef8e8e307afe
http://panel.baranpall.com/startpay/paylink/CE5C0358E2 8e9ede958eda088e1394bc66ec0b8e58

https://newhoster.000webhostapp.com/Source/Saman

/payment=5698542365.php?amount=20000

78822db4d035d0e0da50fb63238fc6d3

https://newhoster.000webhostapp.com/Source/Saman

/payment=5698542365.php?amount=20000

3bcca8307f6e8a5ad71cf7711d6450cc
http://online-pardakht.com/i b06c9738ccf3b8e30f85a6ffdad49a42
http://prdakht.website/y ba2f5a9cbf3fdf9a1262f0ae309286a5
http://185.183.97.102/s/pna/index.php cbe44a0d5cf6f5c3132fedc01444a570
http://aplsam.cf/meleet/?price=20,000 bf2826e76faa311d908457904b93dbbf
http://1o2.ir/P4game f9a84cf6f3b1a0a1433aba6d593c4e20
http://panel.baranpall.com/startpay/paylink/75D1A3F8EC 47af6c2b3b471b38c1cf015f714fc274
http://mamad.samanpay.info//payment=11543459sh?amount=20000 93d6ab738d20a434d832a40de6925eb2

http://www.rsarayan.legendaryhost.ir/suorse%20ha/%40UlteraAddBot

/data/catch/final/payment=11543459sh?amount=20%2C000

de8d95f5e75a8e3b65dcaf15cd834dc0
http://asnpy.website/y 70e2bcb897c8320b4b8e100fe5c0552a
http://soltahnhost.cpanelserver.ir 30c372b3e71b29482f6007a41b0845a0
http://samanshap.cf/payment.php d50bc0b2d9a671781aacc05d8494ea85
http://asay.vip/saman.ir 6f175982641a8a1f86845c5f0a16cb63
http://shahprc.tk/G/payment=5698542365.php?amount=20000 3d1ac8a778938fdf881278a353ea12ac
https://ahesmaeilzadeh.ir/bmp-shaparak/payment=11543459sh?amount=20%2C000 7647618215232ea1d7c16e4cd4fd96c4
http://asanplpla.website/y 4a0218018b5a1a4ab48dad61d6f6dce4
http://asanpardakhet.com b71964f27e676caddd13a34e7367e9ee
http://mutluyillar.xyz/lib/payment=11543459sh.php?amount=20000 a20c0359ed41bb601a9a66a241d114f3
https://bit.ly/2RuuZom ec6011a9766a58575bf6ff7bbe054d5f
http://best98.ga cf24f835f56a1d634dd8e352d50403f1
https://worldsource.yoozhosting.ir/asan-shaparak/payment=11543459sh?amount=20%2C000 b9efb4321e5eb8e40b8415d90e910edb
http://panel.baranpall.com/startpay/paylink/5D730A4A03 0d9de8ab47819f43a037086e812c55bf
http://shaparak.bid/payment=11543459sh?amount=10,000 a56916d02fd79e19ec8c0d75bf25e4f5
https://www.asaplmir.sevenserver.eu/cgi/new/sqq/payment ace3f6f9541a7d880cbf46786cafd25c
https://whimsey.xyz/Sara-khodadaddi/payment=5698542365.php?amount=10%2C000 db4fdf215300f4fc75c29eff5ed47431
https://shargestar.com/p 5430a08f2f8e5deb6659a33890569a79
http://yon.ir/QhYer e6669155a551d8deffd184bddd440190
https://dante.speed-host.ir/asan-shaparak/payment=11543459sh?amount=50%2C000 8626f418dc822fb5a491e20763d19544
http://irshahparak.website c85e2689b7f061ea7c04392c86f99c1f

روش مقابله و پاک‌سازی سیستم

آنتی‌ویروس پادویش این بدافزار را شناسایی کرده و از دستگاه حذف می‌کند.

روش های پیشگیری از آلوده شدن گوشی:

۱. از دانلود و نصب برنامه از منابع و مارکت‌های موبایلی نامعتبر جلوگیری کنید.

۲. هنگام نصب برنامه‌های موبایلی به مجوزهای درخواستی دقت کنید.

۳. از فایل‌ها و اطلاعات ذخیره شده در گوشی پشتیبان گیری مداوم انجام دهید.

۴. از نسخه‌های غیررسمی برنامه‌ها استفاده نکنید. برنامه‌هایی مانند تلگرام نسخه‌های غیررسمی زیادی دارند، بیشتر این برنامه‌ها از طریق کانال‌های تلگرامی انتشار می‌یابند.

۵. از هر اپلیکیشنی که خرید می‌کنید بعد از ورود به صفحه پرداخت، دقت کنید که صفحه‌ی موردنظر از نوع فیشینگ نباشد.