امینت

January 18, 2018
16:35 پنجشنبه، 28ام دیماه 1396
کد خبر: 87354

‫بدافزاری در قالب فیلترشکن

بدافزاری در قالب یک فیلترشکن پس از اجرا، به تمام مخاطبین کاربر، پیامکی حاوی لینک دریافت فایل را ارسال کرده و سپس همه مخاطبین را حذف‌ می‌کند.

در پی انتشار یک بدافزار بین کاربران تلفن‌های همراه اندرویدی کشور با عنوان «فیلترشکن آمدنیوز» و ادعای انتصاب آن به نهادهای دولتی، ‌ بررسی فنی برای شناخت ماهیت و چگونگی عملکرد آن در مرکز ماهر صورت گرفت که خلاصه نتایج این بررسی در این گزارش آمده است.

اوایل دی ماه ۱۳۹۶، لینک یک برنامه اندرویدی از طریق پیامک در مقیاس وسیع توسط کاربران تلفن همراه کشور دریافت شد. این اپلیکیشن پس از اجرا، به تمام مخاطبین کاربر، پیامکی حاوی لینک دریافت این فایل را ارسال کرده و سپس همه مخاطبین را حذف‌ می‌کند. اپلیکیشن ساختار و طراحی ابتدایی و ساده دارد.

غیر از عملکرد شرح‌داده‌شده، هیچ قابلیت و عملکرد دیگری در این اپلیکیشن وجود ندارد. این برنامه هیچ گونه ارتباط اینترنتی نداشته و قابلیت سرقت اطلاعات و تماس با سرورهای کنترلی وجود ندارد. همچنین لینک ارسالی توسط پیامک بر بستر سرویس ابری شرکت آمازون بوده که در حال حاضر غیرفعال شده است بنابراین هرگونه ارتباط این بدافزار با نهادهای دولتی رد می‌شود.

مشخصات فایل مورد بررسی به صورت زیر است:

اجرای برنامه

اجرای این برنامه در محیط آزمایشگاهی صورت گرفت. پس از نصب، برنامه‌ای با عنوان VPNSecure به فهرست برنامه‌ها اضافه می‌شود. با اجرای این برنامه پیغام خطایی مبنی بر عدم سازگاری برنامه با این تلفن همراه توسط برنامه نمایش داده می‌شود.

به طور همزمان بدون دخالت کاربر، به تمام مخاطبین کاربر پیامکی حاوی لینک دریافت این فایل ارسال شده و سپس همه مخاطبین حذف می‌شوند. در همین زمان به مدت ۶۰ ثانیه حالت لرزش تلفن به صورت پیوسته فعال می‌شوند. پس از آن نیز صفحه‌ای ای حاوی لوگوی آمدنیوز هر چندثانیه یک بار روی صفحه نمایش داده می‌شود.

تحلیل داینامیک

برای بررسی دقیق‌تر برنامه نتایج اجرای آن در یکی از سندباکس‌های آنلاین مشاهده شد. جستجو نشان داد این برنامه در تاریخ ۱۵ در ماه روی سندباکس آنلاین koodous.com بارگزاری شده است.

مهمترین نکات قابل برداشت در نتایج این تحلیل داینامیک در جدول زیر ارائه شده‌اند.

هچنین نتایج تحلیل این سامانه نشان می‌دهد که برنامه تحت بررسی هیچ فعالیت شبکه‌ای ندارد.

تحلیل استاتیک (تحلیل کد)

مهندسی معکوس برنامه و مطالعه کدهای آن ضمن تایید نتایج تحلیل داینامیک، نتایج زیر را به دست می‌دهد.

عملکرد برنامه در یک سرویس و دو صفحه activity خلاصه می‌شود. هیچ رفتار و قابلیت دیگری اضافه بر موارد شرح‌داده‌شده در برنامه پیاده‌سازی نشده است.

عملکرد ارسال لینک به مخاطبین از طریق پیامک، فعالسازی لرزش و حذف مخاطبین در سرویس MyServiceپیاده‌سازی شده است.

نحوه پاکسازی

درصورت آلودگی به این بدافزار، کافی است از طریق Setting قسمت apps، نسبت به متوقف‌سازی و حذف اپلیکیشن با عنوان VPNsecure اقدام کنید.

 

  • مشترک شوید!

    برای عضویت در خبرنامه روزانه ایستنا؛ نشانی پست الکترونیکی خود را در فرم زیر وارد نمایید. پس از آن به صورت خودکار ایمیلی به نشانی شما ارسال میشود، برای تکمیل عضویت خود و تایید صحت نشانی پست الکترونیک وارد شده، می بایست بر روی لینکی که در این ایمیل برایتان ارسال شده کلیک نمایید. پس از آن پیامی مبنی بر تکمیل عضویت شما در خبرنامه روزانه ایستنا نمایش داده میشود.

    با عضویت در خبرنامه پیامکی آژانس خبری فناوری اطلاعات و ارتباطات (ایستنا) به طور روزانه آخرین اخبار، گزارشها و تحلیل های حوزه فناوری اطلاعات و ارتباطات را در هر لحظه و هر کجا از طریق پیام کوتاه دریافت خواهید کرد. برای عضویت در این خبرنامه، مشترکین سیمکارت های همراه اول لازم است عبارت 150 را به شماره 201464 و مشترکین سیمکارت های ایرانسل عبارت ozv ictn را به شماره ۸۲۸۲ ارسال کنند. دریافت موفق هر بسته خبری که محتوی پیامکی با حجم ۵پیامک بوده و ۴ تا ۶ عنوان خبری را شامل میشود، ۳۵۰ ریال برای مشترک هزینه در بردارد که در صورتحساب ارسالی از سوی اپراتور مربوطه محاسبه و از اعتبار موجود در حساب مشترکین سیمکارت های دائمی کسر میشود. بخشی از این درآمد این سرویس از سوی اپراتور میزبان شما به ایستنا پرداخت میشود. مشترکین در هر لحظه براساس دستورالعمل اعلامی در پایان هر بسته خبری قادر خواهند بود اشتراک خود را در این سرویس لغو کنند. هزینه دریافت هر بسته خبری برای مشترکین صرفا ۳۵۰ ریال خواهد بود و این هزینه برای مشترکین در حال استفاده از خدمات رومینگ بین الملل اپراتورهای همراه اول و ایرانسل هم هزینه اضافه ای در بر نخواهد داشت.