شرح کلی
نوع: تروجان (Trojan)
درجه تخریب: متوسط
میزان شیوع: متوسط
اسامی بدافزار:
- Padvish) Trojan.Android.Wroba.Roamingmantis)
- Kaspersky) HEUR:Trojan-Dropper.AndroidOS.Wroba.o)
- Avira) ANDROID/Drop.Wroba.monhn)
تروجان چیست؟
تروجانها نوعی از بدافزارها محسوب میشوند که خود را در قالب نرمافزاری سالم و قانونی جلوه میدهند و بسیار شبیه نرمافزارهای مفید و کاربردی رفتار میکنند. اما هنگامی که اجرا میشوند، خرابیهای زیادی را برای سیستم ایجاد میکنند. از جمله راههای ورود تروجانها به سیستم میتوان به مواردی از جمله نرمافزارهای دانلود شده از اینترنت، جاسازی شدن در متن HTML، ضمیمه شدن به یک ایمیل و … اشاره کرد.
خانواده بدافزاری Wroba چیست؟
Wroba نوعی تروجان بانکی اندروید است و وظیفه اصلی آن رهگیری پیامکهای کاربر است که امکان خواندن پیامکهای دریافتی حاوی رمزهای عبور یک بار مصرف (OTP) و یا سایر کدهای احراز هویت را دارد. بدین ترتیب، دور زدن راهکارهای احراز هویت دو مرحلهای که توسط بانکها اجرا میشود برای تروجان تسهیل میشود.
توضیحات فنی
علائم آلودگی
- پنهان شدن آیکون برنامه
- نمایش یک نوار اعلان دائمی
- دریافت دسترسی خطرناک پیامکها و مخاطبین
شرح عملکرد
Roaming Mantis با نام مستعار Shaoye یک کمپین حمله سایبری است که با هدف قرار دادن دستگاههای اندرویدی، بدافزارهای تلفن همراه را از طریق smishing توزیع میکند. Smishing نیز نوعی حمله سایبری است که در آن یک لینک مخرب در پیام متنی (SMS) ارسال میشود که منجر به هدایت شخص به سایتی مخرب یا دانلود بدافزار روی دستگاه او میشود.
در واقع Roaming Mantis به منظور سرقت اطلاعات دستگاه از فایلهای APK و از صفحات فیشینگ برای سرقت اعتبار یا حسابهای کاربری قربانیان استفاده میکند. بدافزار این کار را با ورود به تنظیمات روترهای Wi-Fi و تغییر آیپی DNS (عملیات سرقت DNS) (DNS Hijacking) انجام میدهد.
این عملیات قبلا در بدافزار شناخته شده اندروید Wroba.o/Agent.eq (با نام مستعار Moqhao، XLoader)، که بدافزار اصلی مورد استفاده در این کمپین است، پیادهسازی شده بود.
اکتیوتی CxActivity
CxActivity اکتیویتی اصلی برنامه است. در onCreate اکتیویتی دیگری به نام Ce را شروع میکند.
اکتیویتی Ce با تقاضای غیرفعالسازی بهینهساز باتری از کاربر به بدافزار کمک میکند تا سرویسهای خود را بدون نگرانی از بسته شدن توسط سیستم عامل، اجرا کند. پس از این با فراخوانی تابع finish() خود را متوقف میکند (میبندد).
کلاس IqApplication
این کلاس با هر بار ورود به برنامه اجرا میشود و به طور کلی توابعی از فایل ig.so را لود میکند.
برنامه از توابع نوشته شده در فایل ig.so استفاده میکند تا فایلی با نام b.dex را خوانده و آن را رمزگشایی و اجرا کند. برای مثال یکی از توابع مهم آن pi است که به خواندن و کدگشایی فایل داخل پوشه asset میپردازد.
بخشی از کد تابع pi. مطابق شکل این قطعه کد یک فایل از پوشه asset را میخواند.
بخشی از کد تابع mz. مطابق شکل این قطعه کد یک فایل dex را لود میکند.
فایل b.dex
در این فایل در کلاس com.b ابتدا نوع وایفای و آدرس روتر شبکه پیدا میشود. دو تصویر زیر نشاندهنده بخشهایی از تابع x است که این کار را انجام میدهند:
قسمتی از کدهای تابع x از کلاس com.b
قسمتی از کدهای تابع x از کلاس com.b
پس از یافتن آدرس روتر وایفای، بر اساس کانفیگ هر روتر، یک ریکوئست به آن ارسال میشود. اما پیش از این کار بدافزار با فراخوانی متد w از کلاس com.b به یک آدرس درخواست ارسال کرده و آیپی dns serverها را دریافت میکند. آدرسی که dns serverها را در خود جای داده، عبارت است از:
https://m[.]vk[.]com/id728588947?act=info (در زمان نگارش این گزارش آدرس مذکور از دسترس خارج شده است)
تنظیم dns server به کمک خروجی تابع w
تابع w از کلاس com.b
تابع p از کلاس t
به طور کلی عملکرد این نوع بدافزارها بدین صورت است که پس از تغییر dns زمانی که قربانی وارد یک سایت مانند گوگل شد، اپلیکیشنی آلوده تحت عنوان به روزرسانی یا چیزی مشابه آن، روی تلفن همراه او نصب میشود یا زمانی که قربانی وارد سایتهای شناخته شدهای مانند facebook.com میشود با نمایش یک صفحه فیشینگ، اطلاعات حساب کاربری شخص را به سرقت میبرد.
روش مقابله و پاکسازی سیستم
- این بدافزار توسط آنتیویروس پادویش شناسایی میشود.
- گوشیهای خود را به روز نگه دارید، در حالت ایدهآل آنها را تنظیم کنید تا به صورت خودکار به روز شوند.
- دقت کنید که برنامههای خود را از مارکتهای معتبر دانلود و یا خریداری کنید و از کانالهای تلگرامی، اینستاگرام و وبسایتهای نامعتبر آنها را دانلود نکنید.
- از کلیک کردن روی لینکهای مشکوکی که از طریق sms دریافت میکنید، خودداری کنید.