به گزارش عاشق وب روز گذشته گزارشی منتشر گردید که نشان می داد طبق بررسی های اخیر درباره اپلیکیشن های مخرب در فضای مجازی و مارکت های ایرانی، بیشتر از ۵۰۰ نرم افزار موبایلی با موضوعات متنوع شناسایی شده که عوامل آن تلاش بر آلوده سازی طیف گسترده ای از کاربران را داشته اند.
به گزارش عاشق وب به نقل از ایسنا، محمدجواد آذری جهرمی – وزیر ارتباطات و فناوری اطلاعات – اعلام نموده که “یک شرکت، در مدت کوتاهی بیشتر از ۵۰۰ نرم افزار موبایلی توسعه داده است. از پوشش ادعیه تا عناوین غیراخلاقی! همه و همه برای خالی کردن جیب مشترکین تلفن همراه با سرویس های ارزش افزوده. گزارش به پلیس برای رسیدگی بیشتر ارجاع شده و مبالغ به مردم بازخواهد گشت”.
اما جریان چه بود؟ طبق اعلام مرکز ماهر – مرکز مدیریت امداد و هماهنگی رخدادهای کامپیوتری -، برنامه های مذهبی و ادعیه و برنامه هایی با عناوین مستهجن در فهرست برنامه های انتشار یافته وجود دارد که فقط یکی از این برنامه های آلوده که انتشار یافته است، بالای یک میلیون نفر کاربر دارد.
موضوعات بدافزارهای انتشار یافته توسط این شرکت بسیار متنوع است که نشان داده است عوامل آن تلاش بر آلوده سازی طیف گسترده ای از کاربران را داشته اند. این شرکت چند برنامه همچون برنامه «کیبورد هوشمند همه کاره» را هم در مارکت هم منتشر نموده که تعداد کاربران آن بالای یک میلیون نفر است. برپایه یافته ها باید گفت این شرکت بیشتر از آنکه یک شرکت توسعه دهنده برنامه های اندرویدی باشد، یک شرکت تبلیغاتی است که به منظور رسیدن به مشترکان (قربانیان) بیشتر، دست به کارهای غیرقانونی و آلوده سازی کاربران میزند.
همچون مهم ترین اقدامات مخرب که توسط برخی از توسعه دهنده های سودجو در فضای مجازی کشور در حال انجام می باشد، می توان به موارد ذیل اشاره کرد:
۱- انتشار برنامه های مخفی (برنامه هایی که بعد از نصب آیکون خویش را مخفی کرده و کاربر به سادگی قادر به حذف آنها نیست).
۲- انتشار برنامه های واسط یا دانلودر که در ازای دانلود یک برنامه رایگان، کاربر را عضو سرویس ارزش افزوده می کند.
۳- ارسال تبلیغات آزار دهنده و پوش نوتیفیکیشن (اغلب به منظور تبلیغ سرویس های ارزش افزوده)
۴- برنامه هایی که به صورت مخفیانه و بدون اطلاع کاربر به دانلود بدافزارهای دیگر و یا برنامه هایی که جهت استفاده از آنها باید عضو سرویس ارزش اضافه گردید، می پردازند.
۵- نصب تضمینی برنامه های اندرویدی (دانلود پنهانی و نمایش صفحه نصب اپ های جدید به صورت اجباری)
۶- ارسال نوتیفیکیشن برپایه اپراتور مخابراتی، موقعیت مکانی، گروه سنی، جنسیت و مدل دستگاه کاربر
۷- افزایش بازدید پست های تلگرامی و اینستاگرامی
۸- نمایش پاپ آپ های تبلیغاتی
۹- کلیک دزدی برای بالا بردن میزان بازدید وب سایت های مختلف
۱۰- هدایت کاربر به صفحات و وب سایت های مختلف، مانند وب سایت های خدمات ارزش افزوده
اما در مردادماه سال جاری، گزارش های دیگری از تخلفات این شرکت و بدافزارهای پوش ایران در اینترنت انتشار یافته که در آن اطلاعاتی درمورد این شرکت آورده شده است. در ادامه خلاصه از اقدامات این اپلیکیشن ها بدون ذکر نام شرکت و برنامه ها آمده است.
رفتار کلی بدافزارهای منتشرشده
به صورت کلی بدافزارهایی که توسط شرکت فوق الذکر توسعه داده شده است، رفتارهای مختلفی دارندکه خلاصه ای از این دسته بندی در ادامه آورده شده است.
دانلودرها
بررسی های فنی روی نمونه بدافزارهای PushIran.DL نشان داده است که فایل های دانلودر بعد از آلوده سازی دستگاه های اندرویدی، با سرورهای فرمان و کنترل مهاجمان ارتباط برقرار می کنند. این ارتباط به منظور ثبت اطلاعات اولیه دستگاه ها (مانند مدل دستگاه، نوع اپراتور مخابراتی، موقعیت مکانی و…) است.
بعد از آن، مهاجمان با استفاده از ارسال فرمان های مختلف با استفاده از پوش نوتیفیکیشن ها (مانند پیام های تبلیغاتی، لینک دانلود اپلیکیشن های مختلف، هدایت کاربر به وب سایت های مختلف)، این بدافزارها را از طریق دور کنترل می کنند.
بعضی از این دانلودرها به صورت پیش فرض و بلافاصله بعد از اجرای اولیه، فایل های APK مشکوک جدید را از اینترنت دریافت می کنند. این مساله با استفاده از فراخوان لینک فایل که در کدهای دانلودر از پیش تعبیه شده است، صورت می گیرد.
مهاجمان برای توزیع اپلیکیشن های APK مشکوک (فایل هایی که امکان دارد بدافزارهایی مخرب تر باشند) از دو شیوه کلی پیروی می کنند:
سرورهای خصوصی: استفاده از سرورهای خصوصی، امکان جایگزین کردن برنامه های کاربردی سالم با فایل های آلوده را به راحتی برای مهاجمان فراهم می آورد.
سرویس های اشتراک گذاری فایل: در بعضی موارد مهاجمان برای مخفی نگه داشتن ردپاهای خود و تسریع در پخش فایل و عرضه میزان دقیق دانلود فایل به سفارش دهندگان تبلیغات، از سرویس های عمومی اشتراک گذاری فایل استفاده می نمایند.
دانلودرهای فروشگاهی
در بررسی فایل های آلوده PushIran.DL، دانلودرهایی مشاهده شده اند که هدف اصلی از انتشار آنها، بالا بردن میزان تعداد کاربران استفاده کننده از اپ های انتشار یافته در فروشگاه های برنامه های اندرویدی بوده است.
از آنجائیکه بعضی از فروشگاه های برنامه های اندرویدی میزان آمار نمایش داده شده برای «تعداد نصب برنامه» را برپایه شمارش تعداد برنامه های نصب شده روی دستگاه های کاربران محاسبه می کنند، سازندگان این بدافزارها از این مساله برای بالا بردن تعداد کاربران خود سوءاستفاده می کنند.
همینطور این دانلودرها، مانند تمام فایل های آلوده به PushIran.DL، اطلاعات دستگاه های اندرویدی کاربران را در سرویس های ارسال نوتیفیکیشن ثبت می کنند.
متادانلودرها
نوع دیگر از فایل های آلوده PushIran.DL، دانلودرهایی هستند که بعد از آلوده سازی دستگاه های کاربران، یک دانلودر جدید را دریافت می کنند. این دانلودرها امکان نصب بدافزارهای متفاوت و جدیدتر را برای مهاجمان فراهم می سازند.
این مورد شاید در نگاه نخست مقداری عجیب به نظر برسد، اما بعد از بررسی های مختلف می توان اظهار داشت که هم اکنون هدف اصلی از انتشار این نوع از فایل ها، صرفا تولید پایگاه های کاربری در سرویس های پوش نوتیفیکیشن است که مشخصا مهاجمان از آن برای ارسال تبلیغات استفاده می نمایند.
نوتیفیکیشن های غیرمرتبط
از دیگر موارد قابل توجه در مورد بدافزارهای PushIran.DL، نوتیفیکیشن هایی است که هیچ ارتباطی با کارکرد اپ ها و دسته بندی موضوعی آنها ندارند.
نوتیفیکیشن های دیالوگی
یکی دیگر از انواع نوتیفیکیشن های مزاحم نمایش داده شده توسط اپلیکیشن های آلوده به PushIran.DL، پاپ آپ هایی هستند که اطلاعات مربوط به آنها با استفاده از سرویس های پوش نوتیفیکیشن به دستگاه های آلوده ارسال می شوند. پاپ آپ ها بعنوان دیالوگ های تبلیغاتی در صفحه اصلی دستگاه کاربر ظاهر می شوند، بدون اینکه کاربر از منبع نمایش آن آگاه شود.
بمباران نوتیفیکیشنی
در صورتیکه دستگاه کاربر به یکی از دانلودرهای PushIran.DL آلوده شود، به مرور زمان برنامه های آلوده جدیدتر به او پیشنهاد داده می شوند که بعد از نصب این برنامه ها، عملا کاربر در ساعاتی از روز با بمباران نوتیفیکیشنی مواجه می شود؛ نوتیفیکیشن های تبلیغاتی تکراری که توسط اپلیکیشن های آلوده به صورت مشترک نمایش داده می شوند.
