Trojan.Android.Wroba.Roamingmantis

شرح کلی

نوع: تروجان (Trojan)
درجه تخریب: متوسط
میزان شیوع: متوسط

اسامی بدافزار:

  • Padvish) Trojan.Android.Wroba.Roamingmantis)
  • Kaspersky) HEUR:Trojan-Dropper.AndroidOS.Wroba.o)
  • Avira) ANDROID/Drop.Wroba.monhn)

تروجان چیست؟

تروجان‌ها نوعی از بدافزارها محسوب می‌شوند که خود را در قالب نرم‌افزاری سالم و قانونی جلوه می‌دهند و بسیار شبیه نرم‌افزارهای مفید و کاربردی رفتار می‌کنند. اما هنگامی ‌که اجرا می‌شوند، خرابی‌های زیادی را برای سیستم ایجاد می‌کنند. از جمله راه‌های ورود تروجان‌ها به سیستم می‌توان به مواردی از جمله نرم‌افزارهای دانلود شده از اینترنت، جاسازی شدن در متن HTML، ضمیمه شدن به یک ایمیل و … اشاره کرد.

خانواده بدافزاری Wroba چیست؟

Wroba نوعی تروجان بانکی اندروید است و وظیفه اصلی آن رهگیری پیامک‌های کاربر است که امکان خواندن پیامک‌های دریافتی حاوی رمزهای عبور یک بار مصرف (OTP) و یا سایر کدهای احراز هویت را دارد. بدین ترتیب، دور زدن راهکارهای احراز هویت دو مرحله‌ای که توسط بانک‌ها اجرا می‌شود برای تروجان تسهیل می‌شود.

توضیحات فنی

علائم آلودگی

  • پنهان شدن آیکون برنامه
  • نمایش یک نوار اعلان دائمی
  • دریافت دسترسی خطرناک پیامک‌ها و مخاطبین

شرح عملکرد

Roaming Mantis با نام مستعار Shaoye یک کمپین حمله سایبری است که با هدف قرار دادن دستگاه‌های اندرویدی، بدافزارهای تلفن همراه را از طریق smishing توزیع می‌کند. Smishing نیز نوعی حمله سایبری است که در آن یک لینک مخرب در پیام متنی (SMS) ارسال می‌شود که منجر به هدایت شخص به سایتی مخرب یا دانلود بدافزار روی دستگاه او می‌شود.
در واقع Roaming Mantis به منظور سرقت اطلاعات دستگاه از فایل‌های APK و از صفحات فیشینگ برای سرقت اعتبار یا حساب‌های کاربری قربانیان استفاده می‌کند. بدافزار این کار را با ورود به تنظیمات روترهای Wi-Fi و تغییر آی‌پی DNS (عملیات سرقت DNS) (DNS Hijacking) انجام می‌دهد.
این عملیات قبلا در بدافزار شناخته شده اندروید Wroba.o/Agent.eq (با نام مستعار Moqhao، XLoader)، که بدافزار اصلی مورد استفاده در این کمپین است، پیاده‌سازی شده بود.

اکتیوتی CxActivity

CxActivity اکتیویتی اصلی برنامه است. در onCreate اکتیویتی دیگری به نام Ce را شروع می‌کند.

اکتیویتی Ce با تقاضای غیرفعال‌سازی بهینه‌ساز باتری از کاربر به بدافزار کمک می‌کند تا سرویس‌های خود را بدون نگرانی از بسته شدن توسط سیستم عامل، اجرا کند. پس از این با فراخوانی تابع finish() خود را متوقف می‌کند (می‌بندد).

کلاس IqApplication

این کلاس با هر بار ورود به برنامه اجرا می‌شود و به طور کلی توابعی از فایل ig.so را لود می‌کند.

برنامه از توابع نوشته شده در فایل ig.so استفاده می‌کند تا فایلی با نام b.dex را خوانده و آن را رمزگشایی و اجرا کند. برای مثال یکی از توابع مهم آن pi است که به خواندن و کدگشایی فایل‌ داخل پوشه asset می‌پردازد.

بخشی از کد تابع pi. مطابق شکل این قطعه کد یک فایل از پوشه asset را می‌خواند.

 بخشی از کد تابع pi.

بخشی از کد تابع mz. مطابق شکل این قطعه کد یک فایل dex را لود می‌کند.

بخشی از کد تابع mz.

فایل b.dex

در این فایل در کلاس com.b ابتدا نوع وای‌فای و آدرس روتر شبکه پیدا می‌شود. دو تصویر زیر نشان‌دهنده بخش‌هایی از تابع x است که این کار را انجام می‌دهند:

قسمتی از کدهای تابع x از کلاس com.b

 قسمتی از کدهای تابع x از کلاس com.b

قسمتی از کدهای تابع x از کلاس com.b

قسمتی از کدهای تابع x از کلاس com.b

پس از یافتن آدرس روتر وای‌فای، بر اساس کانفیگ هر روتر، یک ریکوئست به آن ارسال می‌شود. اما پیش از این کار بدافزار با فراخوانی متد w از کلاس com.b به یک آدرس درخواست ارسال کرده و آی‌پی dns serverها را دریافت می‌کند. آدرسی که dns serverها را در خود جای داده، عبارت است از:
https://m[.]vk[.]com/id728588947?act=info   (در زمان نگارش این گزارش آدرس مذکور از دسترس خارج شده است)

تنظیم dns server به کمک خروجی تابع w

تنظیم dns server به کمک خروجی تابع w

تابع w از کلاس com.b

تابع w از کلاس com.b

تابع p از کلاس t

تابع p از کلاس t

به طور کلی عملکرد این نوع بدافزارها بدین صورت است که پس از تغییر dns زمانی که قربانی وارد یک سایت مانند گوگل شد، اپلیکیشنی آلوده تحت عنوان به روزرسانی یا چیزی مشابه آن، روی تلفن همراه او نصب می‌شود یا زمانی که قربانی وارد سایت‌های شناخته شده‌ای مانند facebook.com می‌شود با نمایش یک صفحه فیشینگ، اطلاعات حساب کاربری شخص را به سرقت می‌برد.

روش مقابله و پاک‌سازی سیستم

  • این بدافزار توسط آنتی‌ویروس پادویش شناسایی می‌شود.
  • گوشی‌های خود را به روز نگه دارید، در حالت ایده‌آل آنها را تنظیم کنید تا به صورت خودکار به روز شوند.
  • دقت کنید که برنامه‌های خود را از مارکت‌های معتبر دانلود و یا خریداری کنید و از کانال‌های تلگرامی، اینستاگرام و وب‌سایت‌های نامعتبر آنها را دانلود نکنید.
  • از کلیک کردن روی لینک‌های مشکوکی که از طریق sms دریافت می‌کنید، خودداری کنید.