شاهرخ جهان زاده 66 ارسال شده در ۲۴ مرداد ۱۳۹۷ گزارش اشتراک گذاری ارسال شده در ۲۴ مرداد ۱۳۹۷ مجموعه بدافزارهای مورد بررسی در این گزارش، که بهاختصار PushIran.DL نامیده میشوند، خانوادهای از اپلیکیشنهای جعلی و مخرب اندرویدی هستند که از طریق پیامرسان تلگرام و همینطور دیگر بدافزارهای اندرویدی در شبکه موبایلی ایران منتشر شدهاند. PushIran.DL با ترفندهای مختلف مانند انتشار دانلودر و اپلیکیشنهای جعلی مخصوص بزرگسالان، ارسال پیامک و تبلیغات فریبنده نوتیفیکیشنی در سایر اپهای موبایلی، بهسرعت در حال گسترش است. سازندگان این مجموعه بدافزار بهطور مداوم در حال توسعه نسخههای جدید و انتشار بیشتر فایلهای آلوده هستند. چکیده گزارش با محبوبیت روزافزون تلفنهای هوشمند در ایران، این ابزار هوشمند به یکی از بسترهای جذاب برای خلافکاران سایبری تبدیل شده است تا از طریق آن به درآمدهای میلیونی دست پیدا کنند. در این گزارش که اولین بخش از سری گزارشهای سرتفا است، به یکی از شبکههای بزرگ کسب درآمد توسط خلافکاران سایبری در ایران پرداخته شده است. اهمیت این گزارش در این است که تاکنون هیچ سازمان و ارگانی با جزییات در مورد این دست فعالیتها که میلیونها تومان هزینه برای کاربران تلفنهای هوشمند به بار آورده، صحبت نکرده است. در این گزارش، سرتفا به مجموعهای از بدافزارها با نام PushIran.DL میپردازد که با اهدافی تقریبا مشترک منتشر شدهاند و میزان دامنه آلودگی آنها در حال افزایش است. مجموعهای که پس از بررسیهای مختلف میتوان آن را یک باتنت بزرگ تبلیغاتی برای مصارف مختلف دانست. تولید و انتشار بدافزار، سوءاستفاده از سرویسهای شخص ثالث برای ارسال نوتیفیکیشن، دستکاری سایر برنامهها و فریب کاربران، تنها گوشهای از فعالیت سازندگان این بدافزارها است که حریم خصوصی و امنیت دیجیتال میلیونها کاربر موبایل/تلفن هوشمند در ایران را با خطری جدی مواجه کرده است. بدافزارهای خانواده PushIran.DL که هماکنون تنها از آنها برای مقاصد تجاری استفاده میشود، در اغلب موارد توسط آنتیویروسهای معتبر مانند Dr.Web ،Avira ،ESET NOD32 ،Kaspersky و Trend Micro شناسایی میشوند. کاربران در معرض خطر برای بررسی آلوده نبودن و پاکسازی دستگاههای خود، بهتر است از یکی از این آنتیویروسها استفاده کنند. مقدمه تولید بدافزارهای دانلودر و تبلیغافزار به بخشی از فعالیتهای اولیه کسبوکارهای حوزه نرمافزارهای موبایلی و تبلیغات اینترنتی در ایران تبدیل شده است. فعالیتی مجرمانه که منجر به افزایش دامنه آلودگیهای موبایلی در کشور شده و در صورت عدم مقابله جدی با آن، میتوان انتظار رویدادهایی با دامنه بسیار بزرگتر و خطرناکتر در فضای سایبری ایران را داشت. مجموعه بدافزارهای مورد بررسی در این گزارش، که بهاختصار PushIran.DL نامیده میشوند، خانوادهای از اپلیکیشنهای جعلی و مخرب اندرویدی هستند که از طریق پیامرسان تلگرام و دیگر بدافزارهای اندرویدی در شبکه موبایلی ایران منتشر شدهاند. PushIran.DL با ترفندهای مختلف مانند انتشار دانلودر و اپلیکیشنهای جعلی مخصوص بزرگسالان، ارسال پیامک و تبلیغات فریبنده نوتیفیکیشنی در سایر اپهای موبایلی، بهسرعت در حال گسترش است. سازندگان این مجموعه بدافزار بهطور مداوم در حال توسعه نسخههای جدید و انتشار بیشتر فایلهای آلوده هستند. هر چند که آمار دقیقی از میزان آلودگی دستگاههای موبایلی به PushIran.DL در دست نداریم، اما معتقدیم که دامنه آلودگیهای آن بیش از ۱۰ میلیون دستگاه اندرویدی در ایران بوده و تنها براساس مستندات جمعآوری شده از یکی از سرورهای فرمان و کنترل۱، این بدافزارها حدود ۱٬۳۶۹٬۰۰۰ دستگاه اندرویدی را آلوده کردهاند. آنچه تا به امروز برای ما ثابت شده، این است که بدافزارهای خانواده PushIran.DL، زیرساخت اندرویدی یک باتنت بزرگ اسپم و تبلیغات موبایلی در ایران محسوب میشوند که دامنه آلودگیهای آن تا فروشگاههای برنامههای اندرویدی (رسمی و شخص ثالث) گسترش پیدا کرده است. در تعریفی دقیقتر درباره PushIran.DL باید گفت که بدافزارهای آلوده به آن، در طبقهبندی آنتیویروسهای رسمی با عناوینی مانند نمونههای زیر شناسایی و دستهبندی میشوند۲: - TrojanSMS.Agent - Android.Hiddad.GEN - Adware.Adpush - Android.HiddenApp.GEN - FakeAntiVirus - Fakealert در حال حاضر بدافزارهای PushIran.DL با هدف ایجاد پایگاههای کاربری و ساخت باتنت موبایلی برای مصارف تبلیغاتی توسط مهاجمان منتشر میشوند و اصلیترین فعالیت آنها، سرقت اطلاعات دستگاههای اندرویدی و ثبت مشخصات کاربران در سرویسهای پوش نوتیفیکیشن است. فعالیتی که سازندگان و منتشرکنندگان این بدافزارها هماکنون از آن برای مصارف تبلیغاتی استفاده میکنند، اما میتوان پیشبینی کرد که در آیندهای نزدیک، احتمال بهرهبرداری از این موضوع برای اهداف مخربتر ـ مانند پیادهسازی کمپینهای فیشینگ، انتشار باجافزار و استخراجکنندههای ارزهای دیجیتالی ـ بسیار بالاست. جزییات PushIran.DL طبق تحقیقات انجام شده و بر پایه مستندات موجود، شرکتهای «پویا ارتباطات رامان - Raman» و «راز گستران اندیشه فرتاک - Raaz» از عاملان اصلی انتشار بدافزارهای PushIran.DL و گسترش آن در شبکه موبایلی ایران هستند. رامان: شرکت پویا ارتباطات رامان۳، در زمینه تولید اپلیکیشنهای موبایل، فروش سورس کد و تبلیغات اینترنتی فعالیت میکند. این شرکت توسط محمدحسین کربلائی صادق، محمد نفط چی لنگرودی و سید حمید موسوی خوشدل ثبت شده و از ۲۶ تیرماه ۱۳۹۶ فعالیت رسمی خود را آغاز کرده است.۴ راز: شرکت راز گستران اندیشه فرتاک۵، در زمینه فناوری اطلاعات و ارتباطات، مشاوره، بازاریابی و تبلیغات اینترنتی فعالیت میکند. این شرکت توسط راضیه همتی گشتاسب، حمیده همتی گشتاسب، صغرا دیزگانی و پیام زمهریر ثبت شده و از ۷ خردادماه ۱۳۹۶ فعالیت رسمی خود را آغاز کرده است.۶ بازیگران اصلی پس از تجزیه و تحلیل اطلاعات بهدست آماده از بدافزارهای شناسایی شده و نظارت دو ماهه روی ارتباطات افراد منتشرکننده این بدافزارها، ما به این نتیجه رسیدهایم که شرکتها و افراد بیشتری در انتشار بدافزارهای خانواده PushIran.DL سهیم هستند که در گزارشهای بعدی بهصورت مفصل به آنها پرداخته خواهد شد؛ اما براساس مستندات بهدست آمده از رد پاهای دیجیتال، محمدحسین کربلائی صادق با نام اختصاری امید (Omid و Omidmhks)، علی معتمدی و میلاد فرجی از منتشرکنندگان اصلی این بدافزارها هستند که در این گزارش به کارکرد برخی از فایلهای منتشر شده توسط این افراد اشاره میشود. نکته قابل توجه در مورد PushIran.DL این است که سازندگان آن، اپهای آلوده را با اسامی اختصاری مالکان (افراد شاغل در شرکت پویا ارتباطات رامان) و مشتریان این شرکت و سایر همکاران، ایجاد و منتشر کردهاند. لیست نامهای مرتبط با شرکت رامان که ما به آن دست یافتهایم عبارتند از: جدول ۱- لیست افرادی که با شرکت رامان در ارتباطات هستند و بدافزارهایی برای PushIran.DL توسعه دادهاند. پس از بررسی فایلهای آلوده و اسامی بهدست آمده، ما موفق به شناسایی تعدادی از سازندگان این بدافزارها در فروشگاههای برنامههای موبایلی شدیم که بهعنوان توسعهدهنده اپلیکیشنهای اندرویدی شناخته میشوند. به عنوان مثال فتحالله محمدی، محمد حسین کربلایی صادق (دیما)، فرزاد سیدی (تیم برآیش)، علی معتمدی (توسعه پایدار) تعدادی از توسعهدهندگان مرتبط با PushIran.DL هستند که اپلیکیشنهای جعلی و آلوده شناسایی شده را بهصورت رسمی در کافه بازار و سایر فروشگاههای اندروید ایرانی منتشر کردهاند. تصویر ۱- نمونهای از اپلیکیشنها و توسعهدهندگان مرتبط با PushIran.DL (کیبورد هوشمند همه کاره با بیش از یک میلیون نصب و ضد ویروس با بیش از ۱۰۰ هزار نصب فعال) توسعهدهندهای با عنوان آریا توسعه (Aria Tosewe۸) نیز که پیش از این از نام علی معتمدی (Ali Motamedi۹) استفاده کرده است، از جمله افرادی است که اپلیکیشنهای آلوده او در فروشگاه برنامههای گوگل پلی منتشر شده و بعضی از کاربران در بخش نظرات این فروشگاه، نسبت به تبلیغات مزاحم در این اپها، دانلود سایر اپلیکیشنها و هدایت کاربران به وبسایتهای مختلف شکایت کردهاند. تصویر ۲- نظرات برخی از کاربران درباره دو برنامه علی معتمدی در گوگل پلی بررسی PushIran.DL تا مرداد ۱۳۹۷ ما موفق به جمعآوری ۲۲۰ نمونه از فایلهای اندرویدی آلوده به PushIran.DL شدیم که بهصورت کلی شباهتهای زیادی بین آنها وجود دارد. هر چند معتقد هستیم که اپلیکیشنهای آلوده به این خانواده بدافزاری بیشتر از تعدادی است که ما توانستهایم به آنها دست پیدا کنیم؛ اما با توجه به سازوکار فعالیت اپهای آلوده، میتوان گفت که اصلیترین فایلهای منتشر شده توسط مهاجمان شناسایی شدهاند. نام اپهای مخرب و مشکوک عنوانهای اصلی فایلهای منتشر شده تا تاریخ ۱۰ تیر ۱۳۹۷ به شرح زیر دستهبندی میشوند: جدول ۲- لیست اپلیکیشنهای مخرب و مشکوک منتشر شده تا تاریخ ۱۰ تیر ۱۳۹۷ خدمات ارزش افزوده طبق بررسیهای انجام شده، برخی از اپلیکیشنهای آلوده به PushIran.DL با فعالسازی طرحهای ارزش افزوده مخابراتی (Value-Added Service یا VAS)، هزینههای مختلفی را به کاربران تحمیل میکنند. سازندگان و منتشرکنندگان این بدافزارها، پس از انجام توافق با مشتریان خود (شرکتها و ارائهدهندگان سرویسهای ارزش افزوده مخابراتی)، فعالسازی پیامکی سرویسهای VAS را به عنوان یکی از قابلیتهای تجاری، به اپهای آلوده خود اضافه میکنند. طی این توافق، مهاجمان مبالغی را بابت کارمزد و سود از مشتریان خود دریافت میکنند. براساس مشاهدات ما، این مساله به دو صورت اجباری (بدون اطلاع کاربر و در پشتپرده کارکرد بدافزارها) و اختیاری (طرحهای فریبنده تبلیغاتی و جعلی) انجام میشوند که بهطور متوسط، روزانه هزینهای بین ۲۰۰ تا ۴۰۰ تومان از اعتبار (شارژ) کاربر قربانی کم میکند یا به صورتحساب دورهای وی اضافه میشود. تنها بر پایه اطلاعات جمعآوری شده از یکی از سرورهای سازندگان این بدافزارها، روزانه حدود ۱۱۸ میلیون تومان درآمد حاصل VAS از طریق ۱۰ اپلیکیشن آلوده، نصیب شرکتهای طرف توافق مخابراتی میشود. لیست ۱۰ اپلیکیشن آلوده به PushIran.DL با تعداد نصب و متوسط درآمد روزانه در جدول ۳ آمده است. جدول ۳- لیستی از درآمد تخمینی روزانه تعدادی از اپلیکیشنهای PushIran.DL نکته مهم درباره خدمات ارزش افزوده و درآمد حاصل از آن ـ مانند مبالغ اشاره شده در جدول ۳ ـ این است که بخش اعظم سود VAS به شرکتهای انحصاری طرف قرارداد اپراتورهای مخابراتی تعلق میگیرد و تنها بخش اندکی از آن به سازندگان این بدافزارها پرداخته میشود. موضوعی که تا حدودی موجب نارضایتی سازندگان این بدافزارها شده است. برای مثال در تصویر ۳ میتوانید بخشی از گفتوگوها و بحث برخی از سازندگان این بدافزارها درباره درآمد کم حاصل از همکاری با شرکتهای خدمات ارزش افزوده را مشاهده کنید که مشخصا این افراد به اعمال مجرمانه خود نیز واقف هستند. تصویر ۳- نارضایتی سازندگان بدافزارهای PushIran.DL از درآمد کم خودشان و سود زیاد شرکتهای VAS دامنه فعالیت سازندگان PushIran.DL بهطور کلی میتوان گفت دامنه فعالیت سازندگان بدافزارهای PushIran.DL گسترده است. برای مثال برخی از فعالیتهای کنونی سازندگان این بدافزارها به شرح زیر است: نصب تضمینی اپلیکیشنهای اندرویدی (دانلود پنهانی و نمایش صفحه نصب اپهای جدید بهصورت اجباری) ارسال نوتیفیکیشن براساس اپراتور مخابراتی، موقعیت مکانی، گروه سنی، جنسیت و مدل دستگاه کاربر افزایش بازدید پستهای تلگرامی و اینستاگرامی نمایش پاپآپهای تبلیغاتی کلیک دزدی برای بالا بردن میزان بازدید وبسایتهای مختلف هدایت کاربر به صفحات و وبسایتهای مختلف، مانند وبسایتهای خدمات ارزش افزوده تصویر ۴ برخی از پیامهای تبلیغاتی منتشرکنندگان PushIran.DL برای بازاریابی را نشان میدهد که در این پیامها به میزان کاربران تحت پوشش (حدود ۱.۵ تا ۱۲ میلیون کاربر) و قابلیتهایی که این بدافزارها برای سازندگان آن فراهم میکند، اشاره شده است. تصویر ۴- بخشی از پیامهای ارسالی افراد مرتبط با بدافزارهای PushIran.DL برای بازاریابی به همراه توضیحات در مورد توان فنی و اجرایی خرید و فروش اپ و اطلاعات کاربران یکی از نکات قابل توجه درباره وجه اشتراک اغلب منتشرکنندگان بدافزارهای مرتبط با PushIran.DL، انتشار اپلیکیشنهایی با عنوانهای «کیبورد فارسی»، «آنتیویروس»، «بهینهساز سرعت موبایل و باتری»، «فال و طالعبینی»، «هواشناسی»، «دعاهای مذهبی»، «تقویم شمسی» و... است که دلیل این مساله را میتوان استفاده از سورس کدهای یکسان و در دسترس ـ سورس کدهای فروشی اپها در برخی از وبسایتها و کانالهای تلگرامی ـ عنوان کرد. علاوه بر این، این افراد به همراه شرکتها و گروههای اشاره شده در این گزارش، بستری را برای فروش پنلهای مدیریتی ارسال نوتیفیکیشن (Push Notification) و واگذاری امتیاز اپلیکیشنهای موجود در فروشگاههای برنامههای موبایلی فراهم کردهاند. اتفاقی که میتوان آن را به یک بازار سیاه فروش اپهای موبایل تشبیه کرد. در این میان، موضوع قابل تامل و نگرانکننده، سرنوشت کاربران اپلیکیشنهای موجود در فروشگاههای برنامههای موبایل است که بدون اطلاع آنها، مدیریت و مسئولیت اپلیکیشنهای مورد استفادهشان واگذار میشوند. به عبارتی سیستم مدیریتی و تبلیغاتی برنامههای مورد استفاده کاربران، بدون در نظر گرفتن شرایط مرتبط با حریم خصوصی و قوانین فروشگاههای برنامهها، در پشت پرده فروخته میشوند. برای مثال، در پیامهای کانالهای تلگرامی متعلق به مدیران شرکت پویا ارتباطات رامان با مواردی متعدد مانند این نمونه برخورد کردیم: «امتیاز کامل یک اپلیکیشن برگزیده در کافه بازار به همراه دسترسی پنل مدیریتی وان سیگنال به همراه اطلاعات ۱۹٬۷۰۰ کاربر (نصب فعال) به قیمت ۲۰ میلیون تومان فروخته میشود.» در تصویر ۵ به تعدادی از پیامهای فروشندگان سورسهای این برنامهها اشاره شده است. تصویر ۵- نمونهای از پیامها برای فروش سورس کد و واگذاری پنلهای کاربران بهمنظور ارسال نوتیفیکیشن (منبع: کانال تلگرامی مربوط به سازندگان بدافزارهای PushIran.DL) بررسی خانواده بدافزارهای PushIran.DL ۱) دانلودرهای PushIran.DL بررسیهای فنی روی نمونه بدافزارهای PushIran.DL نشان میدهد که فایلهای دانلودر پس از آلودهسازی دستگاههای اندرویدی، با سرورهای فرمان و کنترل مهاجمان ارتباط برقرار میکنند. این ارتباط بهمنظور ثبت اطلاعات اولیه دستگاهها (مانند مدل دستگاه، نوع اپراتور مخابراتی، موقعیت مکانی و...) است. پس از آن، مهاجمان از طریق ارسال فرمانهای مختلف از طریق پوش نوتیفیکیشنها (مانند پیامهای تبلیغاتی، لینک دانلود اپلیکیشنهای مختلف، هدایت کاربر به وبسایتهای مختلف)، این بدافزارها را از راه دور کنترل میکنند. برخی از این دانلودرها بهصورت پیشفرض و بلافاصله پس از اجرای اولیه، فایلهای APK مشکوک جدید را از اینترنت دریافت میکنند. این مساله از طریق فراخوان لینک فایل که در کدهای دانلودر از پیش تعبیه شده است، صورت میگیرد. مهاجمان برای توزیع اپلیکیشنهای APK مشکوک (فایلهایی که ممکن است بدافزارهایی مخربتر باشند) از دو شیوه کلی پیروی میکنند: سرورهای خصوصی: استفاده از سرورهای خصوصی، امکان جایگزین کردن برنامههای کاربردی سالم با فایلهای آلوده را به راحتی برای مهاجمان فراهم میکند. برای مثال از سرور dl2.learnasan.ir برای این موضوع استفاده شده است. تصویر ۶- لیست فایلهای موجود در سرور dl2.learnasan.ir سرویسهای اشتراکگذاری فایل: در برخی موارد مهاجمان برای مخفی نگه داشتن ردپاهای خود و تسریع در پخش فایل و ارائه میزان دقیق دانلود فایل به سفارشدهندگان تبلیغات، از سرویسهای عمومی اشتراکگذاری فایل استفاده میکنند. برای مثال میتوان به سرویس uupload.ir اشاره کرد که در ابتدای سال ۱۳۹۷ از طریق آن فایلهای آلوده بسیار زیادی به اشتراک گذاشته شده است. تصویر ۷- نمونه فایل دانلودر آپلود شده در سایت uupload.ir با بیش از ۱۹ هزار دانلود تصویر ۸ بهصورت خلاصه سازوکار این نوع از دانلودرها را نشان میدهد. برای مثال براساس کارکرد فایلهای دانلودر ir.pushiran.hamrahdownloader5 و com.newdownloader.antivirus_mohammad: تصویر ۸- سازوکار دانلودرهای PushIran.DL ۲) دانلودرهای فروشگاهی PushIran.DL ما در بررسی فایلهای آلوده PushIran.DL، با دانلودرهایی مواجه شدیم که هدف اصلی از انتشار آنها، بالا بردن میزان تعداد کاربران استفادهکننده از اپهای منتشر شده در فروشگاههای برنامههای اندرویدی بوده است. از آنجا که برخی از فروشگاههای برنامههای اندرویدی ـ مانند کافه بازار ـ میزان آمار نمایش داده شده برای «تعداد نصب برنامه» را براساس شمارش تعداد برنامههای نصب شده روی دستگاههای کاربران محاسبه میکنند، سازندگان این بدافزارها از این مساله برای بالا بردن تعداد کاربران خود سوءاستفاده میکنند. همچنین این دانلودرها، مانند تمام فایلهای آلوده به PushIran.DL، اطلاعات دستگاههای اندرویدی کاربران را در سرویسهای ارسال نوتیفیکیشن ثبت میکنند. تصویر ۹ بهصورت خلاصه سازوکار این نوع از دانلودرها را نشان میدهد. به عنوان مثال براساس کارکرد فایلهای دانلودر ir.gotoup.flashlight و com.newdownloader.ax_naghashi_zz_homayoun: تصویر ۹- سازوکار دانلودرهای فروشگاهی PushIran.DL ۳) متادانلودرهای PushIran.DL نوع دیگر از فایلهای آلوده PushIran.DL، دانلودرهایی هستند که پس از آلودهسازی دستگاههای کاربران، یک دانلودر جدید را دریافت میکنند. این دانلودرها امکان نصب بدافزارهای متفاوت و جدیدتر را برای مهاجمان فراهم میسازند. این موضوع شاید در نگاه نخست مقداری عجیب بهنظر برسد، اما پس از بررسیهای مختلف میتوان گفت که در حال حاضر هدف اصلی از انتشار این نوع از فایلها، صرفا ایجاد پایگاههای کاربری در سرویسهای پوش نوتیفیکیشن است که مشخصا مهاجمان از آن برای ارسال تبلیغات استفاده میکنند. تصویر ۱۰ بهصورت خلاصه سازوکار این نوع از دانلودرها را نشان میدهد. به عنوان مثال براساس کارکرد فایلهای متادانلودر com.blod.taghziye و com.bestmaker.antipackage: تصویر ۱۰- سازوکار متادانلودر PushIran.DL ۴) نوتیفیکیشنهای غیرمرتبط از دیگر موارد قابل توجه در مورد بدافزارهای PushIran.DL، نوتیفیکیشنهایی است که هیچ ارتباطی با کارکرد اپها و دستهبندی موضوعی آنها ندارند. برای مثال در تصویر ۱۱ به چند نمونه از این نوع نوتیفیکیشنها اشاره شده است. تصویر ۱۱- نوتیفیکیشنهای غیرمرتبط با کارکرد برنامهها مورد ۱: یک اپلیکیشن جعلی با آیکون برنامه سایفون و نام «غیر مجاز»، نوتیفیکیشنی با عنوان «بهروزرسانی ماشین حساب» را به کاربر ارسال کرده که در آن به «دانلود رایگان یک اپلیکیشن ماشین حساب» اشاره شده است. مورد ۲ و ۳: دو اپلیکیشن XoXo Girl Game و Hot Cartoon، مشابه اپلیکیشن جعلی سایفون، تبلیغی مشابه را برای کاربر ارسال کردهاند. مورد ۴: اپلیکیشن جعلی «مجموعه +18»، نوتیفیکیشنی با عنوان «دلت هوای کربلا کرده؟» را برای کاربر ارسال کرده که در آن به دانلود و نصب اپلیکیشن «زیارت عاشورای صوتی ویژه ماه رمضان» اشاره شده است. ۵) نوتیفیکیشنهای دیالوگی یکی دیگر از انواع نوتیفیکیشنهای مزاحم نمایش داده شده توسط اپلیکیشنهای آلوده به PushIran.DL، پاپآپهایی هستند که اطلاعات مربوط به آنها از طریق سرویسهای پوش نوتیفیکیشن به دستگاههای آلوده ارسال میشوند. پاپآپها بهعنوان دیالوگهای تبلیغاتی در صفحه اصلی دستگاه کاربر ظاهر میشوند، بدون اینکه کاربر از منبع نمایش آن مطلع شود. تصویر ۱۲، دو نمونه از این تبلیغات را نشان میدهد. تصویر ۱۲- پاپآپهای تبلیغاتی مزاحم ۶) بمباران نوتیفیکیشنی در صورتی که دستگاه کاربر به یکی از دانلودرهای PushIran.DL آلوده شود، به مرور زمان برنامههای آلوده جدیدتر به او پیشنهاد داده میشوند که پس از نصب این برنامهها، عملا کاربر در ساعاتی از روز با بمباران نوتیفیکیشنی مواجه میشود؛ نوتیفیکیشنهای تبلیغاتی تکراری که توسط اپلیکیشنهای آلوده بهصورت مشترک نمایش داده میشوند. تصویر ۱۳، بخشی از این نوتیفیکیشنها را نشان میدهد. تصویر ۱۳- نوتیفیکیشنهای مزاحم تبلیغاتی مربوط به برنامههای آلوده PushIran.DL ۷) نوتیفیکیشنهای فیشینگ در بررسیهای دو ماهه روی بدافزارهای PushIran.DL، ما هیچ مورد مشخصی به عنوان فیشینگ حسابهای کاربری در شبکههای اجتماعی و... مشاهده نکردیم، اما معتقدیم این کار برای منتشرکنندگان این بدافزارها امکانپذیر است. آنچه تا به امروز ثابت شده آن است که مهاجمان از آیکونهای برنامههای شناخته شده و معروف برای فریب کاربران سوءاستفاده میکنند و با تکیه به همین ترفند، به راحتی میتوانند با ارسال پیامهای جعلی، کاربران را به صفحات فیشینگ مختلف هدایت کنند. برای مثال تصویر ۱۴، سوءاستفاده آشکار سازندگان بدافزارهای PushIran.DL از آیکون اپلیکیشن جیمیل در نوتیفیکیشن ارسالی را نشان میدهد. تصویر ۱۴- سوءاستفاده از آیکونهای دیگر برنامهها شیوع سرویسهای پوش نوتیفیکیشن در حال حاضر یکی از اصلیترین راههای ارتباطی اکثر توسعهدهندگان اپهای موبایلی با کاربران از طریق پوش نوتیفیکیشن و سرویسهای ارائهدهنده خدمات آن است؛ اما از آنجایی که هیچ کنترل و نظارت دقیقی درباره نحوه استفاده از پوش نوتیفیکیشن از سوی ارائهدهندگان این سرویسها وجود ندارد، سرویسهای پوش نوتیفیکیشن را میتوان یکی از مشکلات جدید و جدی کاربران تلفن همراه در ایران دانست. این نکته را هم باید بیان کرد که در حال حاضر مهاجمان با تکیه بر این سرویسها ـ که به عنوان یک راه کنترل از راه دور بدافزارهاست ـ از آنها سوءاستفاده میکنند. سرویسهایی مانند MagnetAdServices.com، Adad.ir، OneSignal.com، Pushe.ir و... در حال حاضر از جمله مواردی محسوب میشوند که در بین توسعهدهندگان ایرانی بیشترین میزان کاربر را به خود اختصاص دادهاند. براساس اطلاعات منتشر شده توسط وبسایت «رتبهنگار»۱۲، سرویس پوش نوتیفیکیشن pushe.ir ششمین وبسایت پربازدید براساس ترافیک شبکه اینترنت در ایران است. وبسایتی که در ماههای اخیر سرویسهای آنتیویروس نسبت به انتشار بدافزار و تبلیغات مزاحم توسط آن حساستر شدهاند و در صورتی که این روند ادامه پیدا کند، میتوان انتظار داشت که pushe.ir به عنوان یک ابزار و سرویس مخرب ایرانی، در لیست سیاه تمام آنتیویروسها و نرمافزارهای امنیتی قرار بگیرد. جدول ۴- لیست وبسایتهای پربازدید براساس ترافیک شبکه اینترنت ایران شبکه ارتباطات PushIran.DL برای تکمیل اطلاعات مرتبط با منتشرکنندگان بدافزارهای خانواده PushIran.DL و شناخت کامل ساختار این باتنت تبلیغاتی، جزئیات ارتباطات و سوابق فعالیتهای تعدادی از بدافزارها مورد بررسی قرار گرفتند. نتایج این بررسی نشان میدهد که شرکتها و افراد منتشرکننده این بدافزارها، از نظر فنی و زیرساختی در بستر شبکه، با یکدیگر در ارتباط و تعامل هستند و در تسریع توزیع و گسترش این باتنت نقش دارند. استفاده مشترک از سرورهای خصوصی اشتراکگذاری فایل بهعنوان محل ذخیرهسازی و انتشار فایلهای آلوده، واگذاری سرورهای مورد استفاده به افراد مرتبط با بدافزارهای PushIran.DL، محافظت از مشخصات ثبت کننده دامینها برای مخفی نگه داشتن هویت دارندگان دامینها، الگوی یکسان در ساختار کدهای مورد استفاده در بدافزارها و استفاده از سرویسهای ارسال نوتیفیکیشن از جمله موارد قابل توجهی هستند که در بررسی سوابق این بدافزارها به چشم میخورد و با کنار هم قرار دادن این اطلاعات، میتوان به ارتباطات این باتنت تبلیغاتی پی برد. همچنین براساس مستندات بهدست آمده از ارتباطات سرورها و تحلیل بدافزارهای منتشر شده، سازندگان این بدافزارها در یک دوره محدود بهطور مستقیم با سرورهای شرکت پیکآسا۱۳ (ارائهدهنده خدمات پیامک و ارزش افزوده) ارتباط داشتهاند که در حال حاضر این ارتباط متوقف شده است. به عنوان مثال بدافزارهایی مانند ir.pushiran.hamrahdownloader5 و ir.vira_tel.dawnloader61 که توسط دو توسعهدهنده متفاوت ایجاد شدهاند، بهصورت مشترک در یک دوره زمانی مشخص از دامنههای tci-test.peykasa.ir و tci-srv.peykasa.ir ـ که هر دو متعلق به وبسایت peykasa.ir هستند ـ برای ثبت اطلاعات مرتبط با خدمات ارزش افزوده مخابراتی مشترکان همراه اول، استفاده میکردند. تصویر ۱۵، بخشی از ارتباطات کلی این بدافزارها در بستر شبکه را نشان میدهد. تصویر ۱۵- ساختار ارتباطات شبکه برخی از بدافزارهای PushIran.DL نتیجهگیری هر چند که باتنت PushIran.DL دارای ساختار پیچیدهای نیست، اما آن را میتوان بدافزار خطرناکی دانست که تاکنون به کاربران تلفنهای همراه در ایران میلیاردها تومان ضرر مالی وارد کرده است. علاوه بر این، PushIran.DL این اجازه را به خرابکاران سایبری میدهد (همچنین دولت و سازمانهای اطلاعاتی/امنیتی در ایران) که سیستم شنود گستردهای را علیه کاربران ایران راهاندازی کنند؛ ما در گذشته شاهد این دست همکاریها بین خرابکاران سایبری/هکرها با دولت و دستگاههای اطلاعاتی/امنیتی در کشور بودهایم.۱۵ از همین رو، ما پیشنهادهایی به شرکتهای فعال در زمینه تکنولوژی، سیاستگذاران، افراد فعال در سازمانهای مدنی و کاربران اینترنت داریم تا خطر خانواده بدافزاری PushIran.DL را به میزان چشمگیری کاهش دهند. پیشنهادات ما به شرکتهای فعال در زمینه تکنولوژی و سیاستگذاران آن است که: روی فروشگاههای اپلیکیشنهای اندرویدی مانند کافه بازار و گوگل پلی فشار بیاورند تا این اپلیکیشنهای مخرب را هر چه زودتر حذف کنند. با توجه به عدم پاسخگویی و واکنش کند و دیر این فروشگاهها، یک اقدام هماهنگ در این زمینه لازم است. اطمینان حاصل کردن از بهروز شدن تمامی آنتیویروسهای موجود در بازار برای شناسایی PushIran.DL و بدافزارهای مشابه. هماکنون تنها چند نرمافزار آنتیویروس مانند کسپرسکی و آویرا خانواده بدافزاری PushIran.DL را شناسایی میکنند. پیشنهادات ما به رسانههای خارج از ایران و جامعه مدنی این است که: افزایش آگاهی ایرانیان از طریق کانالهای مختلف مانند تلویزیون، رادیو، وبسایت و شبکههای اجتماعی. بسیاری از قربانیان اینگونه حملات از تاثیر و خطرات آنها آگاه نیستند و در برخی موارد از آلوده بودن دستگاه موبایلشان نیز با خبر نیستند. پیشنهادات ما به کاربران اینترنت و تلفن همراه این است که: هیچ اپلیکیشن موبایلی را از فروشگاههای غیرمعتبر دانلود نکنند. کاربران باید قبل از دانلود و نصب یک اپلیکیشن، حتما بخش نظرات و توضیحات اپلیکیشن مورد نظرشان را بخوانند. از نصب یک آنتیویروس روی تلفن همراهشان اطمینان حاصل کنند و آن را همواره بهروز نگه دارند. تمام نوتیفیکیشنهایی را که دریافت میکنند بررسی و از درست بودن آنها اطمینان حاصل کنند. کاربران باید از توجه و واکنش به نوتیفیکیشنهای غیرعادی و مشکوک خودداری کنند. منبع: سرتفا نقل قول لینک ارسال به اشتراک گذاری در سایت های دیگر
پست های پیشنهاد شده
به گفتگو بپیوندید
هم اکنون می توانید مطلب خود را ارسال نمایید و بعداً ثبت نام کنید. اگر حساب کاربری دارید، برای ارسال با حساب کاربری خود اکنون وارد شوید .