شرح کلی
نوع: Trojan
اسامی بدافزار:
Trojan.Android.SmsBot.PI
درجه تخریب: متوسط
میزان شیوع: متوسط
تروجان (Trojan) چیست؟
تروجانها نوعی از بدافزارها محسوب میشود که خود را در قالب یک اپلیکیشن سالم و به ظاهر قانونی قرار میدهند و بسیار شبیه اپلیکیشنهای مفید و کاربردی رفتار میکنند. اما هنگامیکه کاربر آنها را در گوشی نصب و اجرا میکند، گوشی کاربر آلوده میشود. اپلیکیشنهای دانلود شده از مارکتهای مختلف اندرویدی، گرفتن فایل از کانال های تلگرامی، اینستاگرامی و غیره از جمله راههای ورود تروجانها میباشند.
بدافزار SmsBot چیست؟
کاربران اپلیکیشنی با نام “فال” را از کانالهای تبلیغاتی تلگرام دانلود و نصب میکنند. پس از اجرای برنامه در گوشی کاربر، رفتارهای مخرب زیادی توسط بدافزار نشان داده میشود، که آنها را میتوان بنابر درجه تخریبشان اولویت بندی کرد.
* این بدافزار به واسطه عملیاتی که قصد انجام آن را دارد، مجوزهای دسترسی بسیار زیادی از کاربر میگیرد. مجوزهایی از جمله دریافت، خواندن و ارسال sms را از کاربر دریافت میکند.
* این بدافزار در حقیقت یک بات نت میباشد. برای رسيدن به اهداف بدخواهانه خود، از سرور C&C سامانه ارائه دهنده تبلیغات(onesignal) به گوشیهای اندرويدی به عنوان مركز كنترل و فرمان خود استفاده كرده که از طریق ارسال json به گوشی کاربر در قالب اعلانهای مختلف، با کلیک کاربر بر روی آنها، باعث اجرای کدهای آلوده در برنامه میشود. روشی که بدافزار پیش گرفته اینگونه است که داخل برنامه با جایگذاری یک webview برای نمایش HTMLهای موجود در فولدر assets/www استفاده میشود. همچنین یکسری کدهای js در webview تزریق شده که آنها هم اجرا میشوند.
* این فایل جزو بدافزارهایی است که به صورت خودکار کاربر را عضو سرویسهای ارزش افزوده میکند باوجودیکه محتوای برنامه ربطی به سرویس ارزش افزوده ندارد.
* این دسته از بدافزارها متادانلودر نیز میباشند. در حقیقت پس از آلودهسازی گوشی کاربر، یک دانلودر جدید را لود میکند. علاوه بر برنامه اصلی(اولیه)، پس از نصب فایل دانلودر(دوم) در گوشی، خود بعنوان یک برنامه مستقل عمل میکند. اینگونه که هم میتواند مجددا بدافزار دیگری از همین خانواده دانلود کند، هم برای بالا بردن تعداد دانلودهای اپلیکیشنهای سالم و در واقع تبلیغات برای آنها که نتیجه آن کسب درآمد برای مهاجمان میباشد، اقدام نماید.
بررسیهای فنی روی این نمونه نشان میدهد که فایلهای دانلودر پس از آلودهسازی گوشی های اندرویدی، با سرورهای فرمان و کنترل مهاجمان ارتباط برقرار میکنند. این ارتباط بهمنظور ثبت اطلاعات اولیه گوشیها (مانند مدل گوشی، نوع اپراتور مخابراتی، موقعیت مکانی و…) است.
پس از آن، مهاجمان از طریق ارسال فرمانهای مختلف از طریق پوش نوتیفیکیشنها (مانند پیامهای تبلیغاتی، لینک دانلود اپلیکیشنهای مختلف، هدایت کاربر به وبسایتهای مختلف)، این بدافزارها را از راه دور کنترل میکنند. همچنین مهاجمان برای توزیع اپلیکیشنهای مشکوک (فایلهایی که ممکن است بدافزار باشند) از دو شیوه کلی پیروی میکنند:
– سرورهای خصوصی: استفاده از سرورهای خصوصی، امکان جایگزین کردن اپلیکیشنهای آلوده را با اپلیکیشنهای سالم به راحتی برای مهاجمان فراهم میکند.
– سرویسهای اشتراکگذاری فایل: در برخی موارد مهاجمان برای مخفی نگه داشتن ردپاهای خود و تسریع در پخش فایل و ارائه میزان دقیق دانلود فایل به سفارشدهندگان تبلیغات، از سرویسهای عمومی اشتراکگذاری فایل استفاده میکنند. برای مثال میتوان به سرویس uupload.ir اشاره کرد.
* این بدافزارها علاوه بر رفتار مخربی که دارند موجب مصرف بیش از حد اینترنت و فضای حافظه گوشی میشوند. همچنین نمایش مداوم تبلیغات در برنامه باعث اخلال در عملکرد و مزاحمت میگردد.
توضیحات فنی
بعد از نصب برنامه اول (ir.website.faal118) ، سرویس اصلی این برنامه به نام (OSService) راه اندازی میشود. سرویس برنامه به محض اجرا شدن، برنامه (دوم) را با پکیج (ir.mahmoodvand.file101) که در مسیر resource برنامه (اول) میباشد، نصب میکند. با کلیک برروی برنامه (اول)، جهت راه اندازی، بعد از نمایش لحظه ای اکتیویتی برنامه، بلافاصله اکتیویتی برنامه(دوم) با عنوان “My file management” لود میشود. کاربر تصور میکند برای نصب برنامه میبایستی این روال طی شود چون نام برنامه دانلودر (دوم) بگونه ای طراحی شده که کاربر به آن مشکوک نمیشود و خیلی راحت دکمه “نصب” را میزند. به واسطه آن برنامه دانلودر (دوم) با اکتیویتی پنهان، نصب میشود. بدافزارنویس برای حفظ بقای برنامه آلوده (دوم)، آیکون آن را پاک میکند که در لیست برنامههای گوشی، توسط کاربر دیده نشود.
مهاجم بهمنظور ثبت اطلاعات اولیه گوشی کاربر (مانند مدل گوشی، نوع اپراتور مخابراتی، موقعیت مکانی و …) به سرویس پوش نوتیفیکیشن(onesignal)، اطلاعات را در قالب فایل json ارسال میکند که این اطلاعات در فایل پایگاه داده برنامه (sharepreference) در گوشی قربانی ذخیره میشود. در ادامه اطلاعات دیگری از گوشی قربانی مانند مشخصات اپراتور ثبت شده فعلی، اینکه بااستفاده از چه سیم کارتی به اینترنت متصل می شود (نام اپراتور شبکه) همچنین اینکه چه سیم کارتهایی الان در گوشی فعال هستند(ایرانسل، همراه اول و یا سایر سیم کارتها) را دسته بندی کرده و به سمت سرویس پوش نوتیفیکیشن ارسال میکند.
سرور مربوطه ، از طریق ارسال json به گوشی کاربر به صورت اعلانهای مختلف پاسخ میدهد. مقادیر موجود در فایل پایگاه داده برنامه، به ازای فایل json دریافتی از سمت سرور، پارامترهای (myshortcode, link, mykey, verify , times, removeicon, interval, notification) را پر میکند. با کلیک کاربر بر روی هریک از این اعلانها، کد آلودهای در پس زمینه اجرا میشود. روشی که بدافزار پیش گرفته اینگونه است که تبلیغات به صورت یک webview در برنامه باز میشود. فایلهای HTML موجود “file:///android_asset/www/index.html, file:///android_asset/www/indexv2.html” در برنامه با استفاده از webview لود میشوند. همچنین این امکان را میدهد که کدهای javascript به راحتی روی صفحهی لود شده، اجرا شوند. به این تکنیک تزریق javascript در webview گفته میشود.
سرورهای (http://141.105.69.168 , http://141.105.69.159/onesignal ,… ) در برنامه استفاده میشوند و به ازای آنها، عملیات زیر انجام میشود:
– پس از باز شدن خود برنامه “فال” نیز، صفحهای به کاربر نشان داده میشود که برای استفاده از این برنامه (فال)، باید برنامه ای با عنوان “شبیه کدوم بازیگری” را با عضویت در سرویس “تلویزیون تو” بدست آورید. با زدن تنها دکمهی روی صفحه، عضو سرویس “تلویزیون تو” با هزینه روزانه پانصد تومان از سیم کارت میشوید. این برنامه جزو بدافزارهایی است که به صورت خودکار کاربران را عضو سرویس ارزش افزوده میکند، در حالیکه محتوای برنامه ربطی به سرویس ارزش افزوده ندارد. به این ترتیب که با استفاده از اطلاعاتی که از شماره سیم کارت کاربر در ابتدای برنامه (توسط سرویس OSService که در پس زمینه در حال اجراست) بدست میآورد، اقدام به ارسال پیامک به یکی از سرویسهای پیامکی کرده و کاربر را در آنها عضو میکند. اطلاعات مربوط به این سرویس پیامکی نیز توسط jsonهای ارسالی از سرورهای مهاجم به برنامه ارسال میشود.
-همچنین برای تبلیغات برنامههای سالم،مهاجم لینکهایی را درفایل json قرار داده است. کاربر به محض کلیک بر روی تبلیغات به سمت لینکهای زیر برای دانلود برنامهها، فرستاده میشود.
http://141.105.69[.]159/onesignal/img/1526144987834.apk
http://141.105.69[.]168/files/com.picscout.mytwinceleb.apk
http://download.dreamapps[.]ir/application/mci-jadval
– پیغامهایی مبنی بر نمایش تبلیغات برای دانلود برنامه “شبیه کدوم بازیگری” با هدف عضویت در سرویس “هواداران باشگاه استقلال تهران” نمایش میدهد. به این کار، سودجویی مهاجمان و کسب درآمد از طریق سرویسهای ارزش افزوده گفته میشود. با زدن تنها دکمهی “موافقم” روی صفحه، عضو سرویس “هواداران باشگاه استقلال تهران” با هزینه روزانه پانصد تومان میشوید. با این تفاوت که در این تبلیغات پیغام “شما میتوانید برای عضویت در تیم هواداری پرسپولیس عدد 11 را به 738035 ارسال نمایید” نمایش داده میشود. در نتیجه با کلیک برروی دکمه ذکر شده این کار با توجه به مجوز دسترسی ارسال sms که قبلا مهاجم آنرا دریافت کرده، انجام شده و کاربر عضو این سرویس ارزش افزوده شده و روزانه متضرر خواهد شد. این برنامه (شبیه کدوم بازیگری) در لیست برنامههای آلوده متعلق به این خانواده میباشد. در واقع نسخههایی از خود این بدافزار بعنوان برنامه دانلودر مستقل، دانلود میشوند.
– برنامه دومی که تبلیغاتش را انجام میدهد برنامه “کارپینو” میباشد که با زدن دکمه روی صفحه، از لینک آلوده قرار داده شده از سمت سرورهای بدافزارنویس، دانلود شده و در صورت تمایل کاربر با زدن دکمه نصب، نصب انجام میشود.
روش مقابله و پاکسازی سیستم
آنتیویروس پادویش این بدافزار را شناسایی کرده و از دستگاه حذف میکند. در ادامه میتوانید سروریسهای ارزش افزوده برای سیم کارتهای همراه اول یا ایرانسل و تمامی اپراتورها را غیرفعال کنید:
با ارسال پیامک خالی به شماره 800 و یا شماره گیری کد #800* سرویسهای محتوایی فعال خود را مشاهده و در صورت تمایل نسبت به قطع آنها اقدام کنید. در دسترس ترین راه برای مشترکانی که میخواهند سرویس های ارزش افزوده شان حذف شود این است که، با شماره گیری *800*2# تمامی سرویسهای فعال را لغو کنند.
روش های پیشگیری از آلوده شدن گوشی:
۱. از دانلود و نصب برنامه از منابع و مارکتهای موبایلی نامعتبر جلوگیری کنید.
۲. هنگام نصب برنامههای موبایلی به مجوزهای درخواستی دقت کنید.
۳. پشتیبان گیری مداوم از فایلها و اطلاعات ذخیره شده در گوشی انجام دهید.
۴. از نسخههای غیررسمی برنامهها استفاده نکنید. برنامههایی مانند تلگرام نسخههای غیررسمی زیادی دارند، بیشتر این برنامهها از طریق کانالهای تلگرامی انتشار میابند که یک برنامه قانونی و امن نبوده و امکان آلوده سازی را دارند.