در پی انتشار یک بدافزار بین کاربران تلفنهای همراه اندرویدی کشور با عنوان «فیلترشکن آمدنیوز» و ادعای انتصاب آن به نهادهای دولتی، بررسی فنی برای شناخت ماهیت و چگونگی عملکرد آن در مرکز ماهر صورت گرفت که خلاصه نتایج این بررسی در این گزارش آمده است.
اوایل دی ماه ۱۳۹۶، لینک یک برنامه اندرویدی از طریق پیامک در مقیاس وسیع توسط کاربران تلفن همراه کشور دریافت شد. این اپلیکیشن پس از اجرا، به تمام مخاطبین کاربر، پیامکی حاوی لینک دریافت این فایل را ارسال کرده و سپس همه مخاطبین را حذف میکند. اپلیکیشن ساختار و طراحی ابتدایی و ساده دارد.
غیر از عملکرد شرحدادهشده، هیچ قابلیت و عملکرد دیگری در این اپلیکیشن وجود ندارد. این برنامه هیچ گونه ارتباط اینترنتی نداشته و قابلیت سرقت اطلاعات و تماس با سرورهای کنترلی وجود ندارد. همچنین لینک ارسالی توسط پیامک بر بستر سرویس ابری شرکت آمازون بوده که در حال حاضر غیرفعال شده است بنابراین هرگونه ارتباط این بدافزار با نهادهای دولتی رد میشود.
مشخصات فایل مورد بررسی به صورت زیر است:
اجرای برنامه
اجرای این برنامه در محیط آزمایشگاهی صورت گرفت. پس از نصب، برنامهای با عنوان VPNSecure به فهرست برنامهها اضافه میشود. با اجرای این برنامه پیغام خطایی مبنی بر عدم سازگاری برنامه با این تلفن همراه توسط برنامه نمایش داده میشود.
به طور همزمان بدون دخالت کاربر، به تمام مخاطبین کاربر پیامکی حاوی لینک دریافت این فایل ارسال شده و سپس همه مخاطبین حذف میشوند. در همین زمان به مدت ۶۰ ثانیه حالت لرزش تلفن به صورت پیوسته فعال میشوند. پس از آن نیز صفحهای ای حاوی لوگوی آمدنیوز هر چندثانیه یک بار روی صفحه نمایش داده میشود.
تحلیل داینامیک
برای بررسی دقیقتر برنامه نتایج اجرای آن در یکی از سندباکسهای آنلاین مشاهده شد. جستجو نشان داد این برنامه در تاریخ ۱۵ در ماه روی سندباکس آنلاین koodous.com بارگزاری شده است.
مهمترین نکات قابل برداشت در نتایج این تحلیل داینامیک در جدول زیر ارائه شدهاند.
هچنین نتایج تحلیل این سامانه نشان میدهد که برنامه تحت بررسی هیچ فعالیت شبکهای ندارد.
تحلیل استاتیک (تحلیل کد)
مهندسی معکوس برنامه و مطالعه کدهای آن ضمن تایید نتایج تحلیل داینامیک، نتایج زیر را به دست میدهد.
عملکرد برنامه در یک سرویس و دو صفحه activity خلاصه میشود. هیچ رفتار و قابلیت دیگری اضافه بر موارد شرحدادهشده در برنامه پیادهسازی نشده است.
عملکرد ارسال لینک به مخاطبین از طریق پیامک، فعالسازی لرزش و حذف مخاطبین در سرویس MyServiceپیادهسازی شده است.
نحوه پاکسازی
درصورت آلودگی به این بدافزار، کافی است از طریق Setting قسمت apps، نسبت به متوقفسازی و حذف اپلیکیشن با عنوان VPNsecure اقدام کنید.