Trojan.Android.SmsBot.PI

شرح کلی

نوع: Trojan
اسامی بدافزار:
Trojan.Android.SmsBot.PI
درجه تخریب: متوسط
میزان شیوع: متوسط

تروجان (Trojan) چیست؟

تروجان‌ها نوعی از بدافزارها محسوب می‌شود که خود را در قالب یک اپلیکیشن سالم و به ظاهر قانونی قرار می‌دهند و بسیار شبیه اپلیکیشن‌های مفید و کاربردی رفتار می‌کنند. اما هنگامی‌که کاربر آنها را در گوشی نصب و اجرا می‌کند، گوشی کاربر آلوده می‌شود. اپلیکیشن‌های دانلود شده از مارکت‌های مختلف اندرویدی، گرفتن فایل از کانال های تلگرامی، اینستاگرامی و غیره از جمله راه‌های ورود تروجان‌ها می‌باشند.

بدافزار SmsBot چیست؟

کاربران اپلیکیشنی با نام “فال” را از کانال‌های تبلیغاتی تلگرام دانلود و نصب می‌کنند. پس از اجرای برنامه در گوشی کاربر، رفتارهای مخرب زیادی توسط بدافزار نشان داده می‌شود، که آنها را می‌توان بنابر درجه تخریبشان اولویت بندی کرد.
* ‫‏‏‏این بدافزار‫ به واسطه عملیاتی که قصد انجام آن را دارد‫، مجوزهای دسترسی بسیار زیادی از کاربر می‌گیرد. مجوزهایی از جمله دریافت، خواندن و ارسال sms را از کاربر دریافت می‌کند.
* این بدافزار در حقیقت یک بات نت می‌باشد. برای رسيدن به اهداف بدخواهانه خود، از سرور C&C سامانه ارائه دهنده تبلیغات(onesignal) به گوشی‌های اندرويدی به عنوان مركز كنترل و فرمان خود استفاده كرده که از طریق ارسال json به گوشی کاربر در قالب اعلان‌های مختلف، با کلیک کاربر بر روی آنها، باعث اجرای کدهای آلوده در برنامه می‌شود. روشی که بدافزار پیش گرفته اینگونه است که داخل برنامه با جایگذاری یک webview برای نمایش HTMLهای موجود در فولدر assets/www استفاده می‌شود. همچنین یکسری کدهای js در webview تزریق شده که آنها هم اجرا می‌شوند.
* این فایل جزو بدافزارهایی است که به صورت خودکار کاربر را عضو سرویس‌های ارزش افزوده می‌کند باوجودیکه محتوای برنامه ربطی به سرویس ارزش افزوده ندارد.
* این دسته از بدافزارها متادانلودر نیز می‌باشند. در حقیقت پس از آلوده‌سازی گوشی کاربر، یک دانلودر جدید را لود می‌کند. علاوه بر برنامه اصلی(اولیه)، پس از نصب فایل دانلودر(دوم) در گوشی، خود بعنوان یک برنامه مستقل عمل می‌کند. اینگونه که هم می‌تواند مجددا بدافزار دیگری از همین خانواده دانلود کند، هم برای بالا بردن تعداد دانلودهای اپلیکیشن‌های سالم و در واقع تبلیغات برای آنها که نتیجه آن کسب درآمد برای مهاجمان می‌باشد، اقدام نماید.
بررسی‌های فنی روی این نمونه نشان می‌دهد که فایل‌های دانلودر پس از آلوده‌سازی گوشی های اندرویدی، با سرورهای فرمان و کنترل مهاجمان ارتباط برقرار می‌کنند. این ارتباط به‌منظور ثبت اطلاعات اولیه گوشی‌ها (مانند مدل گوشی، نوع اپراتور مخابراتی، موقعیت مکانی و…) است.
پس از آن، مهاجمان از طریق ارسال فرمان‌های مختلف از طریق پوش نوتیفیکیشن‌ها (مانند پیام‌های تبلیغاتی، لینک دانلود اپلیکیشن‌های مختلف، هدایت کاربر به وب‌سایت‌های مختلف)، این بدافزارها را از راه دور کنترل می‌کنند. همچنین مهاجمان برای توزیع اپلیکیشن‌های مشکوک (فایل‌هایی که ممکن است بدافزار باشند) از دو شیوه کلی پیروی می‌کنند:
– سرورهای خصوصی: استفاده از سرورهای خصوصی، امکان جایگزین کردن اپلیکیشن‌های آلوده را با اپلیکیشن‌های سالم به راحتی برای مهاجمان فراهم می‌کند.
– سرویس‌های اشتراک‌گذاری فایل: در برخی موارد مهاجمان برای مخفی نگه داشتن ردپاهای خود و تسریع در پخش فایل و ارائه میزان دقیق دانلود فایل به سفارش‌دهندگان تبلیغات، از سرویس‌های عمومی اشتراک‌گذاری فایل استفاده می‌کنند. برای مثال می‌توان به سرویس uupload.ir اشاره کرد.
* این بدافزارها علاوه بر رفتار مخربی که دارند موجب مصرف بیش از حد اینترنت و فضای حافظه گوشی می‌شوند. همچنین نمایش مداوم تبلیغات در برنامه باعث اخلال در عملکرد و مزاحمت می‌گردد.

توضیحات فنی

بعد از نصب برنامه اول (ir.website.faal118) ، سرویس اصلی این برنامه به نام (OSService) راه اندازی می‌شود. سرویس برنامه به محض اجرا شدن، برنامه (دوم) را با پکیج (ir.mahmoodvand.file101) که در مسیر resource برنامه (اول) می‌باشد، نصب می‌کند. با کلیک برروی برنامه (اول)، جهت راه اندازی، بعد از نمایش لحظه ای اکتیویتی برنامه، بلافاصله اکتیویتی برنامه(دوم) با عنوان “My file management” لود می‌شود. کاربر تصور می‌کند برای نصب برنامه میبایستی این روال طی شود چون نام برنامه دانلودر (دوم) بگونه ای طراحی شده که کاربر به آن مشکوک نمی‌شود و خیلی راحت دکمه “نصب” را می‌زند. به واسطه آن برنامه دانلودر (دوم) با اکتیویتی پنهان، نصب می‌شود. بدافزارنویس برای حفظ بقای برنامه آلوده (دوم)، آیکون آن را پاک می‌کند که در لیست برنامه‌های گوشی، توسط کاربر دیده نشود.
مهاجم به‌منظور ثبت اطلاعات اولیه گوشی کاربر (مانند مدل گوشی، نوع اپراتور مخابراتی، موقعیت مکانی و …) به سرویس پوش نوتیفیکیشن(onesignal)، اطلاعات را در قالب فایل json ارسال می‌کند که این اطلاعات در فایل پایگاه داده برنامه (sharepreference) در گوشی قربانی ذخیره می‌شود. در ادامه اطلاعات دیگری از گوشی قربانی مانند مشخصات اپراتور ثبت شده فعلی، اینکه بااستفاده از چه سیم کارتی به اینترنت متصل می شود (نام اپراتور شبکه) همچنین اینکه چه سیم کارت‌هایی الان در گوشی فعال هستند(ایرانسل، همراه اول و یا سایر سیم کارتها) را دسته بندی کرده و به سمت سرویس پوش نوتیفیکیشن ارسال می‌کند.
سرور مربوطه ، از طریق ارسال json به گوشی کاربر به صورت اعلان‌های مختلف پاسخ می‌دهد. مقادیر موجود در فایل پایگاه داده برنامه، به ازای فایل json دریافتی از سمت سرور، پارامترهای (myshortcode, link, mykey, verify , times, removeicon, interval, notification) را پر می‌کند. با کلیک کاربر بر روی هریک از این اعلان‌ها، کد آلوده‌ای در پس زمینه اجرا می‌شود. روشی که بدافزار پیش گرفته اینگونه است که تبلیغات به صورت یک webview در برنامه باز می‌شود. فایل‌های HTML موجود “file:///android_asset/www/index.html, file:///android_asset/www/indexv2.html” در برنامه با استفاده از webview لود می‌شوند. همچنین این امکان را می‌دهد که کدهای javascript به راحتی روی صفحه‌ی لود شده، اجرا شوند. به این تکنیک تزریق javascript در webview گفته می‌شود.

سرورهای (http://141.105.69.168 , http://141.105.69.159/onesignal ,… ) در برنامه استفاده می‌شوند و به ازای آن‌ها، عملیات زیر انجام می‌شود:
– پس از باز شدن خود برنامه “فال” نیز، صفحه‌ای به کاربر نشان داده می‌شود که برای استفاده از این برنامه (فال)، باید برنامه ای با عنوان “شبیه کدوم بازیگری” را با عضویت در سرویس “تلویزیون تو” بدست آورید. با زدن تنها دکمه‌ی روی صفحه، عضو سرویس “تلویزیون تو” با هزینه روزانه پانصد تومان از سیم کارت می‌شوید. این برنامه جزو بدافزارهایی است که به صورت خودکار کاربران را عضو سرویس ارزش افزوده می‌کند، در حالیکه محتوای برنامه ربطی به سرویس ارزش افزوده ندارد. به این ترتیب که با استفاده از اطلاعاتی که از شماره سیم کارت کاربر در ابتدای برنامه (توسط سرویس OSService که در پس زمینه در حال اجراست) بدست می‌آورد، اقدام به ارسال پیامک به یکی از سرویس‌های پیامکی کرده و کاربر را در آنها عضو می‌کند. اطلاعات مربوط به این سرویس پیامکی نیز توسط jsonهای ارسالی از سرورهای مهاجم به برنامه ارسال می‌شود.

-همچنین برای تبلیغات برنامه‌های سالم،مهاجم لینک‌هایی را درفایل json قرار داده است. کاربر به محض کلیک بر روی تبلیغات به سمت لینک‌های زیر برای دانلود برنامه‌ها، فرستاده می‌شود.

http://141.105.69[.]159/onesignal/img/1526144987834.apk
http://141.105.69[.]168/files/com.picscout.mytwinceleb.apk
http://download.dreamapps[.]ir/application/mci-jadval

– پیغام‌هایی مبنی بر نمایش تبلیغات برای دانلود برنامه “شبیه کدوم بازیگری” با هدف عضویت در سرویس “هواداران باشگاه استقلال تهران” نمایش می‌دهد. به این کار، سودجویی مهاجمان و کسب درآمد از طریق سرویس‌های ارزش افزوده گفته می‌شود. با زدن تنها دکمه‌ی “موافقم” روی صفحه، عضو سرویس “هواداران باشگاه استقلال تهران” با هزینه روزانه پانصد تومان می‌شوید. با این تفاوت که در این تبلیغات پیغام “شما می‌توانید برای عضویت در تیم هواداری پرسپولیس عدد 11 را به 738035 ارسال نمایید” نمایش داده می‌شود. در نتیجه با کلیک برروی دکمه ذکر شده این کار با توجه به مجوز دسترسی ارسال sms که قبلا مهاجم آنرا دریافت کرده، انجام شده و کاربر عضو این سرویس ارزش افزوده شده و روزانه متضرر خواهد شد. این برنامه (شبیه کدوم بازیگری) در لیست برنامه‌های آلوده متعلق به این خانواده می‌باشد. در واقع نسخه‌هایی از خود این بدافزار بعنوان برنامه دانلودر‌ مستقل، دانلود می‌شوند.
– برنامه دومی که تبلیغاتش را انجام می‌دهد برنامه “کارپینو” می‌باشد که با زدن دکمه روی صفحه، از لینک آلوده قرار داده شده از سمت سرورهای بدافزارنویس، دانلود شده و در صورت تمایل کاربر با زدن دکمه نصب، نصب انجام می‌شود.

روش مقابله و پاک‌سازی سیستم

آنتی‌ویروس پادویش این بدافزار را شناسایی کرده و از دستگاه حذف می‌کند. در ادامه می‌توانید سروریس‌های ارزش افزوده برای سیم کارت‌های همراه اول یا ایرانسل و تمامی اپراتورها را غیرفعال کنید:
با ارسال پیامک خالی به شماره 800 و یا شماره گیری کد #800* سرویس‌های محتوایی فعال خود را مشاهده و در صورت تمایل نسبت به قطع آنها اقدام کنید. در دسترس ترین راه برای مشترکانی که می‌خواهند سرویس های ارزش افزوده شان حذف شود این است که، با شماره گیری *800*2# تمامی سرویس‌های فعال را لغو کنند.

روش های پیشگیری از آلوده شدن گوشی:

۱. از دانلود و نصب برنامه از منابع و مارکت‌های موبایلی نامعتبر جلوگیری کنید.
۲. هنگام نصب برنامه‌های موبایلی به مجوزهای درخواستی دقت کنید.
۳. پشتیبان گیری مداوم از فایل‌ها و اطلاعات ذخیره شده در گوشی انجام دهید.
۴. از نسخه‌های غیررسمی برنامه‌ها استفاده نکنید. برنامه‌هایی مانند تلگرام نسخه‌های غیررسمی زیادی دارند، بیشتر این برنامه‌ها از طریق کانال‌های تلگرامی انتشار میابند که یک برنامه قانونی و امن نبوده و امکان آلوده سازی را دارند.