شاهرخ جهان زاده

گزارش سرتفا درباره خانواده بدافزاری PushIran.DL، باتنت تبلیغات کلاهبردارانه در ایران

1 ارسال در این موضوع قرار دارد

 

مجموعه بدافزارهای مورد بررسی در این گزارش، که به‌اختصار PushIran.DL نامیده می‌شوند، خانواده‌ای از اپلیکیشن‌های جعلی و مخرب اندرویدی‌ هستند که از طریق پیام‌رسان تلگرام و همینطور دیگر بدافزارهای اندرویدی در شبکه موبایلی ایران منتشر شده‌اند. PushIran.DL با ترفندهای مختلف مانند انتشار دانلودر و اپلیکیشن‌های جعلی مخصوص بزرگسالان، ارسال پیامک و تبلیغات فریبنده نوتیفیکیشنی در سایر اپ‌های موبایلی، به‌سرعت در حال گسترش‌ است. سازندگان این مجموعه بدافزار به‌طور مداوم در حال توسعه نسخه‌های جدید و انتشار بیشتر فایل‌های آلوده هستند.

pushiran-dl-malware-family.jpg

چکیده گزارش

با محبوبیت روزافزون تلفن‌های هوشمند در ایران، این ابزار هوشمند به یکی از بسترهای جذاب برای خلافکاران سایبری تبدیل شده است تا از طریق آن به درآمدهای میلیونی دست پیدا کنند. در این گزارش که اولین بخش از سری گزارش‌های سرتفا است، به یکی از شبکه‌های بزرگ کسب درآمد توسط خلافکاران سایبری در ایران پرداخته شده است. اهمیت این گزارش در این است که تاکنون هیچ سازمان و ارگانی با جزییات در مورد این دست فعالیت‌ها که میلیون‌ها تومان هزینه برای کاربران تلفن‌های هوشمند به بار آورده، صحبت نکرده است.

در این گزارش، سرتفا به مجموعه‌ای از بدافزارها با نام PushIran.DL می‌پردازد که با اهدافی تقریبا مشترک منتشر شده‌اند و میزان دامنه آلودگی آن‌ها در حال افزایش است. مجموعه‌ای که پس از بررسی‌های مختلف می‌توان آن را یک بات‌نت بزرگ تبلیغاتی برای مصارف مختلف دانست.

تولید و انتشار بدافزار، سوءاستفاده از سرویس‌های شخص ثالث برای ارسال نوتیفیکیشن، دستکاری سایر برنامه‌ها و فریب کاربران، تنها گوشه‌ای از فعالیت سازندگان این بدافزارها است که حریم خصوصی و امنیت دیجیتال میلیون‌ها کاربر موبایل/تلفن هوشمند در ایران را با خطری جدی مواجه کرده است.

بدافزارهای خانواده PushIran.DL که هم‌اکنون تنها از آن‌ها برای مقاصد تجاری استفاده می‌شود، در اغلب موارد توسط آنتی‌ویروس‌های معتبر مانند Dr.Web ،Avira ،ESET NOD32 ،Kaspersky و Trend Micro شناسایی می‌شوند. کاربران در معرض خطر برای بررسی آلوده نبودن و پاکسازی دستگاه‌های خود، بهتر است از یکی از این آنتی‌ویروس‌ها استفاده کنند.

 

مقدمه

تولید بدافزارهای دانلودر و تبلیغ‌افزار به بخشی از فعالیت‌های اولیه کسب‌وکارهای حوزه نرم‌افزارهای موبایلی و تبلیغات اینترنتی در ایران تبدیل شده است. فعالیتی مجرمانه که منجر به افزایش دامنه آلودگی‌های موبایلی در کشور شده و در صورت عدم مقابله جدی با آن، می‌توان انتظار رویدادهایی با دامنه بسیار بزرگ‌تر و خطرناک‌‌تر در فضای سایبری ایران را داشت.

مجموعه بدافزارهای مورد بررسی در این گزارش، که به‌اختصار PushIran.DL نامیده می‌شوند، خانواده‌ای از اپلیکیشن‌های جعلی و مخرب اندرویدی‌ هستند که از طریق پیام‌رسان تلگرام و دیگر بدافزارهای اندرویدی در شبکه موبایلی ایران منتشر شده‌اند. PushIran.DL با ترفندهای مختلف مانند انتشار دانلودر و اپلیکیشن‌های جعلی مخصوص بزرگسالان، ارسال پیامک و تبلیغات فریبنده نوتیفیکیشنی در سایر اپ‌های موبایلی، به‌سرعت در حال گسترش‌ است. سازندگان این مجموعه بدافزار به‌طور مداوم در حال توسعه نسخه‌های جدید و انتشار بیشتر فایل‌های آلوده هستند.

هر چند که آمار دقیقی از میزان آلودگی دستگاه‌های موبایلی به PushIran.DL در دست نداریم، اما معتقدیم که دامنه آلودگی‌های آن بیش از ۱۰ میلیون دستگاه اندرویدی در ایران بوده و تنها براساس مستندات جمع‌آوری شده از یکی از سرورهای فرمان و کنترل۱، این بدافزارها حدود ۱٬۳۶۹٬۰۰۰ دستگاه اندرویدی را آلوده کرده‌اند.

آنچه تا به امروز برای ما ثابت شده، این است که بدافزارهای خانواده PushIran.DL، زیرساخت اندرویدی یک بات‌نت بزرگ اسپم و تبلیغات موبایلی در ایران محسوب می‌شوند که دامنه‌ آلودگی‌های آن تا فروشگاه‌های برنامه‌های اندرویدی (رسمی و شخص ثالث) گسترش پیدا کرده است.

در تعریفی دقیق‌تر درباره PushIran.DL باید گفت که بدافزارهای آلوده به آن، در طبقه‌بندی آنتی‌ویروس‌های رسمی با عناوینی مانند نمونه‌های زیر شناسایی و دسته‌بندی می‌شوند۲:

- TrojanSMS.Agent
- Android.Hiddad.GEN
- Adware.Adpush
- Android.HiddenApp.GEN
- FakeAntiVirus
- Fakealert

در حال حاضر بدافزارهای PushIran.DL با هدف ایجاد پایگاه‌‌های کاربری و ساخت بات‌نت موبایلی برای مصارف تبلیغاتی توسط مهاجمان منتشر می‌شوند و اصلی‌ترین فعالیت آن‌ها، سرقت اطلاعات دستگاه‌های اندرویدی و ثبت مشخصات کاربران در سرویس‌های پوش نوتیفیکیشن است. فعالیتی که سازندگان و منتشرکنندگان این بدافزارها هم‌اکنون از آن برای مصارف تبلیغاتی استفاده می‌کنند، اما می‌توان پیش‌بینی کرد که در آینده‌ای نزدیک، احتمال بهره‌برداری از این موضوع برای اهداف مخرب‌تر ـ مانند پیاده‌سازی کمپین‌های فیشینگ، انتشار باج‌افزار و استخراج‌کننده‌های ارزهای دیجیتالی ـ بسیار بالاست.

 

 

جزییات PushIran.DL

طبق تحقیقات انجام شده و بر پایه مستندات موجود، شرکت‌های «پویا ارتباطات رامان - Raman» و «راز گستران اندیشه فرتاک - Raaz» از عاملان اصلی انتشار بدافزارهای PushIran.DL و گسترش آن در شبکه موبایلی ایران هستند.

رامان: شرکت پویا ارتباطات رامان۳، در زمینه تولید اپلیکیشن‌های موبایل، فروش سورس کد و تبلیغات اینترنتی فعالیت می‌کند. این شرکت توسط محمدحسین کربلائی صادق، محمد نفط چی لنگرودی و سید حمید موسوی خوشدل ثبت شده و از ۲۶ تیرماه ۱۳۹۶ فعالیت رسمی خود را آغاز کرده است.۴

راز: شرکت راز گستران اندیشه فرتاک۵، در زمینه فناوری اطلاعات و ارتباطات، مشاوره، بازاریابی و تبلیغات اینترنتی فعالیت می‌کند. این شرکت توسط راضیه همتی گشتاسب، حمیده همتی گشتاسب، صغرا دیزگانی و پیام زمهریر ثبت شده و از ۷ خردادماه ۱۳۹۶ فعالیت رسمی خود را آغاز کرده است.۶

 

بازیگران اصلی

پس از تجزیه و تحلیل اطلاعات به‌دست آماده از بدافزارهای شناسایی شده و نظارت دو ماهه روی ارتباطات افراد منتشرکننده این بدافزارها، ما به این نتیجه رسیده‌ایم که شرکت‌ها و افراد بیشتری در انتشار بدافزارهای خانواده PushIran.DL سهیم هستند که در گزارش‌های بعدی به‌صورت مفصل به آن‌ها پرداخته خواهد شد؛ اما براساس مستندات به‌دست آمده از رد پاهای دیجیتال، محمدحسین کربلائی صادق با نام اختصاری امید (Omid و Omidmhks)، علی معتمدی و میلاد فرجی از منتشرکنندگان اصلی این بدافزارها هستند که در این گزارش به کارکرد برخی از فایل‌های منتشر شده توسط این افراد اشاره می‌شود.

نکته قابل توجه در مورد PushIran.DL این است که سازندگان آن، اپ‌های آلوده‌ را با اسامی اختصاری مالکان (افراد شاغل در شرکت پویا ارتباطات رامان) و مشتریان این شرکت و سایر همکاران، ایجاد و منتشر کرده‌اند. لیست نام‌های مرتبط با شرکت رامان که ما به آن‌ دست یافته‌ایم عبارتند از:

name-table.jpg

جدول ۱- لیست افرادی که با شرکت رامان در ارتباطات هستند و بدافزارهایی برای PushIran.DL توسعه داده‌اند.

 

پس از بررسی فایل‌های آلوده و اسامی به‌دست آمده، ما موفق به شناسایی تعدادی از سازندگان این بدافزارها در فروشگاه‌های برنامه‌های موبایلی شدیم که به‌عنوان توسعه‌دهنده اپلیکیشن‌های اندرویدی شناخته می‌شوند.

به عنوان مثال فتح‌الله محمدی، محمد حسین کربلایی صادق (دیما)، فرزاد سیدی (تیم برآیش)، علی معتمدی (توسعه پایدار) تعدادی از توسعه‌دهندگان مرتبط با PushIran.DL هستند که اپلیکیشن‌های جعلی و آلوده شناسایی شده را به‌صورت رسمی در کافه بازار و سایر فروشگاه‌های اندروید ایرانی منتشر کرده‌اند.

baazar.jpg

تصویر ۱- نمونه‌ای از اپلیکیشن‌ها و توسعه‌دهندگان مرتبط با PushIran.DL
(کیبورد هوشمند همه کاره با بیش از یک میلیون نصب و ضد ویروس با بیش از ۱۰۰ هزار نصب فعال)

توسعه‌دهنده‌ای با عنوان آریا توسعه (Aria Tosewe۸) نیز که پیش از این از نام علی معتمدی (Ali Motamedi۹) استفاده کرده است، از جمله افرادی است که اپلیکیشن‌های آلوده او در فروشگاه‌ برنامه‌های گوگل پلی منتشر شده و بعضی از کاربران در بخش نظرات این فروشگاه، نسبت به تبلیغات مزاحم در این اپ‌ها، دانلود سایر اپلیکیشن‌ها و هدایت کاربران به وب‌سایت‌های مختلف شکایت کرده‌اند.

google-play-feedback.jpg

تصویر ۲- نظرات برخی از کاربران درباره دو برنامه علی معتمدی در گوگل پلی 

بررسی PushIran.DL

تا مرداد ۱۳۹۷ ما موفق به جمع‌آوری ۲۲۰ نمونه از فایل‌های اندرویدی آلوده به PushIran.DL شدیم که به‌صورت کلی شباهت‌های زیادی بین آن‌ها وجود دارد. هر چند معتقد هستیم که اپلیکیشن‌های آلوده به این خانواده بدافزاری بیشتر از تعدادی است که ما توانسته‌ایم به آن‌ها دست پیدا کنیم؛ اما با توجه به سازوکار فعالیت اپ‌های آلوده، می‌توان گفت که اصلی‌ترین فایل‌های منتشر شده توسط مهاجمان شناسایی شده‌اند.

 

نام اپ‌های مخرب و مشکوک

عنوان‌های اصلی فایل‌های منتشر شده تا تاریخ ۱۰ تیر ۱۳۹۷ به شرح زیر دسته‌بندی می‌شوند:

malware-list.jpg

جدول ۲- لیست اپلیکیشن‌های مخرب و مشکوک منتشر شده تا تاریخ ۱۰ تیر ۱۳۹۷

 

خدمات ارزش افزوده

طبق بررسی‌های انجام شده، برخی از اپلیکیشن‌های آلوده به PushIran.DL با فعال‌سازی طرح‌های ارزش افزوده مخابراتی (Value-Added Service یا VAS)، هزینه‌های مختلفی را به کاربران تحمیل می‌کنند.

سازندگان و منتشرکنندگان این بدافزارها، پس از انجام توافق با مشتریان خود (شرکت‌ها و ارائه‌دهندگان سرویس‌های ارزش افزوده مخابراتی)، فعال‌سازی پیامکی سرویس‌های VAS را به عنوان یکی از قابلیت‌های تجاری، به اپ‌های آلوده خود اضافه می‌کنند. طی این توافق، مهاجمان مبالغی را بابت کارمزد و سود از مشتریان خود دریافت می‌کنند.

براساس مشاهدات ما، این مساله به دو صورت اجباری (بدون اطلاع کاربر و در پشت‌پرده کارکرد بدافزارها) و اختیاری (طرح‌های فریبنده تبلیغاتی و جعلی) انجام می‌شوند که به‌طور متوسط، روزانه هزینه‌ای بین ۲۰۰ تا ۴۰۰ تومان از اعتبار (شارژ) کاربر قربانی کم می‌کند یا به صورتحساب دوره‌ای وی اضافه می‌شود.

تنها بر پایه اطلاعات جمع‌آوری شده از یکی از سرورهای سازندگان این بدافزارها، روزانه حدود ۱۱۸ میلیون تومان درآمد حاصل VAS از طریق ۱۰ اپلیکیشن آلوده، نصیب شرکت‌های طرف توافق مخابراتی می‌شود. لیست ۱۰ اپلیکیشن آلوده به PushIran.DL با تعداد نصب و متوسط درآمد روزانه در جدول ۳ آمده است.

vas-table.jpg

جدول ۳- لیستی از درآمد تخمینی روزانه تعدادی از اپلیکیشن‌های PushIran.DL

 

نکته مهم درباره خدمات ارزش افزوده و درآمد حاصل از آن ـ مانند مبالغ اشاره شده در جدول ۳ ـ این است که بخش اعظم سود VAS به شرکت‌های انحصاری طرف قرارداد اپراتورهای مخابراتی تعلق می‌گیرد و تنها بخش اندکی از آن به سازندگان این بدافزارها پرداخته می‌شود. موضوعی که تا حدودی موجب نارضایتی سازندگان این بدافزارها شده است.

برای مثال در تصویر ۳ می‌توانید بخشی از گفت‌وگوها و بحث برخی از سازندگان این بدافزارها درباره درآمد کم حاصل از همکاری با شرکت‌های خدمات ارزش افزوده را مشاهده کنید که مشخصا این افراد به اعمال مجرمانه خود نیز واقف هستند.

chat.jpg

تصویر ۳- نارضایتی سازندگان بدافزارهای PushIran.DL از درآمد کم خودشان و سود زیاد شرکت‌های VAS

 

دامنه فعالیت سازندگان PushIran.DL

به‌طور کلی می‌توان گفت دامنه فعالیت سازندگان بدافزارهای PushIran.DL گسترده است. برای مثال برخی از فعالیت‌های کنونی سازندگان این بدافزارها به شرح زیر است:

  • نصب تضمینی اپلیکیشن‌های اندرویدی (دانلود پنهانی و نمایش صفحه نصب اپ‌های جدید به‌صورت اجباری)
  • ارسال نوتیفیکیشن براساس اپراتور مخابراتی، موقعیت مکانی، گروه سنی، جنسیت و مدل دستگاه کاربر
  • افزایش بازدید پست‌های تلگرامی و اینستاگرامی
  • نمایش پاپ‌آپ‌های تبلیغاتی
  • کلیک دزدی برای بالا بردن میزان بازدید وب‌سایت‌های مختلف
  • هدایت کاربر به صفحات و وب‌سایت‌های مختلف، مانند وب‌سایت‌های خدمات ارزش افزوده

تصویر ۴ برخی از پیام‌های تبلیغاتی منتشرکنندگان PushIran.DL برای بازاریابی را نشان می‌دهد که در این پیام‌ها به میزان کاربران تحت پوشش (حدود ۱.۵ تا ۱۲ میلیون کاربر) و قابلیت‌هایی که این بدافزارها برای سازندگان آن فراهم می‌کند، اشاره شده است.

scope-of-activity.jpg

تصویر ۴- بخشی از پیام‌های ارسالی افراد مرتبط با بدافزارهای PushIran.DL برای بازاریابی به همراه توضیحات در مورد توان فنی و اجرایی

 

خرید و فروش اپ و اطلاعات کاربران

یکی از نکات قابل توجه درباره وجه اشتراک اغلب منتشرکنندگان بدافزارهای مرتبط با PushIran.DL، انتشار اپلیکیشن‌هایی با عنوان‌های «کیبورد فارسی»، «آنتی‌ویروس»، «بهینه‌ساز سرعت موبایل و باتری»، «فال و طالع‌بینی»، «هواشناسی»، «دعاهای مذهبی»، «تقویم شمسی» و... است که دلیل این مساله را می‌توان استفاده از سورس کدهای یکسان و در دسترس ـ سورس کدهای فروشی اپ‌ها در برخی از وب‌سایت‌ها و کانال‌های تلگرامی ـ عنوان کرد.

علاوه بر این، این افراد به همراه شرکت‌ها و گروه‌های اشاره شده در این گزارش، بستری را برای فروش پنل‌های مدیریتی ارسال نوتیفیکیشن (Push Notification) و واگذاری امتیاز اپلیکیشن‌های موجود در فروشگاه‌های برنامه‌های موبایلی فراهم کرده‌اند. اتفاقی که می‌توان آن را به یک بازار سیاه فروش اپ‌های موبایل تشبیه کرد.

در این میان، موضوع قابل تامل و نگران‌کننده، سرنوشت کاربران اپلیکیشن‌های موجود در فروشگاه‌های برنامه‌های موبایل است که بدون اطلاع آن‌ها، مدیریت و مسئولیت اپلیکیشن‌های مورد استفاده‌‌شان واگذار می‌شوند. به عبارتی سیستم مدیریتی و تبلیغاتی برنامه‌های مورد استفاده کاربران، بدون در نظر گرفتن شرایط مرتبط با حریم خصوصی و قوانین فروشگاه‌های برنامه‌ها، در پشت پرده فروخته می‌شوند.

برای مثال، در پیام‌های کانال‌های تلگرامی متعلق به مدیران شرکت پویا ارتباطات رامان با مواردی متعدد مانند این نمونه برخورد کردیم:

«امتیاز کامل یک اپلیکیشن برگزیده در کافه بازار به همراه دسترسی‌ پنل مدیریتی وان سیگنال به همراه اطلاعات ۱۹٬۷۰۰ کاربر (نصب فعال) به قیمت ۲۰ میلیون تومان فروخته می‌شود.»

در تصویر ۵ به تعدادی از پیام‌های فروشندگان سورس‌های این برنامه‌ها اشاره شده است.

disguised-apps-and-third-parties.jpg

تصویر ۵- نمونه‌ای از پیام‌ها برای فروش سورس کد و واگذاری پنل‌های کاربران به‌منظور ارسال نوتیفیکیشن
(منبع: کانال تلگرامی مربوط به سازندگان بدافزارهای PushIran.DL)

بررسی خانواده بدافزارهای PushIran.DL

۱) دانلودرهای PushIran.DL

بررسی‌های فنی روی نمونه بدافزارهای PushIran.DL نشان می‌دهد که فایل‌های دانلودر پس از آلوده‌سازی دستگاه‌های اندرویدی، با سرورهای فرمان و کنترل مهاجمان ارتباط برقرار می‌کنند. این ارتباط به‌منظور ثبت اطلاعات اولیه دستگاه‌ها (مانند مدل دستگاه، نوع اپراتور مخابراتی، موقعیت مکانی و...) است.

پس از آن، مهاجمان از طریق ارسال فرمان‌های مختلف از طریق پوش نوتیفیکیشن‌ها (مانند پیام‌های تبلیغاتی، لینک دانلود اپلیکیشن‌های مختلف، هدایت کاربر به وب‌سایت‌های مختلف)، این بدافزارها را از راه دور کنترل می‌کنند.

برخی از این دانلودرها به‌صورت پیش‌فرض و بلافاصله پس از اجرای اولیه، فایل‌های APK مشکوک جدید را از اینترنت دریافت می‌کنند. این مساله از طریق فراخوان لینک فایل که در کدهای دانلودر از پیش تعبیه شده است، صورت می‌گیرد.

مهاجمان برای توزیع اپلیکیشن‌های APK مشکوک (فایل‌هایی که ممکن است بدافزارهایی مخرب‌تر باشند) از دو شیوه کلی پیروی می‌کنند:

  • سرورهای خصوصی: استفاده از سرورهای خصوصی، امکان جایگزین کردن برنامه‌های کاربردی سالم با فایل‌های آلوده را به راحتی برای مهاجمان فراهم می‌کند. برای مثال از سرور dl2.learnasan.ir برای این موضوع استفاده شده است. 

dl2learnasan.jpg

تصویر ۶- لیست فایل‌های موجود در سرور dl2.learnasan.ir

  • سرویس‌های اشتراک‌گذاری فایل: در برخی موارد مهاجمان برای مخفی نگه داشتن ردپاهای خود و تسریع در پخش فایل و ارائه میزان دقیق دانلود فایل به سفارش‌دهندگان تبلیغات، از سرویس‌های عمومی اشتراک‌گذاری فایل استفاده می‌کنند. برای مثال می‌توان به سرویس uupload.ir اشاره کرد که در ابتدای سال ۱۳۹۷ از طریق آن فایل‌های آلوده بسیار زیادی به اشتراک گذاشته شده است.

uupload.jpg

تصویر ۷- نمونه فایل دانلودر آپلود شده در سایت uupload.ir با بیش از ۱۹ هزار دانلود

 

تصویر ۸ به‌صورت خلاصه سازوکار این نوع از دانلودرها را نشان می‌دهد. برای مثال براساس کارکرد فایل‌های دانلودر ir.pushiran.hamrahdownloader5 و com.newdownloader.antivirus_mohammad:

downloader.jpg

تصویر ۸- سازوکار دانلودرهای PushIran.DL

۲) دانلودرهای فروشگاهی PushIran.DL

ما در بررسی‌ فایل‌های آلوده PushIran.DL، با دانلودرهایی مواجه شدیم که هدف اصلی از انتشار آن‌ها، بالا بردن میزان تعداد کاربران استفاده‌کننده از اپ‌های منتشر شده در فروشگاه‌های برنامه‌های اندرویدی بوده است.

از آنجا که برخی از فروشگاه‌های برنامه‌های اندرویدی ـ مانند کافه بازار ـ میزان آمار نمایش داده شده برای «تعداد نصب برنامه» را براساس شمارش تعداد برنامه‌های نصب شده روی دستگاه‌های کاربران محاسبه می‌کنند، سازندگان این بدافزارها از این مساله برای بالا بردن تعداد کاربران خود سوءاستفاده می‌کنند.

همچنین این دانلودرها، مانند تمام فایل‌های آلوده به PushIran.DL، اطلاعات دستگاه‌های اندرویدی کاربران را در سرویس‌های ارسال نوتیفیکیشن ثبت می‌کنند.

تصویر ۹ به‌صورت خلاصه سازوکار این نوع از دانلودرها را نشان می‌دهد. به عنوان مثال براساس کارکرد فایل‌های دانلودر ir.gotoup.flashlight و com.newdownloader.ax_naghashi_zz_homayoun:

market-downloader.jpg

تصویر ۹- سازوکار دانلودرهای فروشگاهی PushIran.DL

۳) متادانلودرهای PushIran.DL

نوع دیگر از فایل‌های آلوده PushIran.DL، دانلودرهایی هستند که پس از آلوده‌سازی دستگاه‌های کاربران، یک دانلودر جدید را دریافت می‌کنند. این دانلودرها امکان نصب بدافزارهای متفاوت و جدیدتر را برای مهاجمان فراهم می‌سازند.

این موضوع شاید در نگاه نخست مقداری عجیب به‌نظر برسد، اما پس از بررسی‌های مختلف می‌توان گفت که در حال حاضر هدف اصلی از انتشار این نوع از فایل‌ها، صرفا ایجاد پایگاه‌های کاربری در سرویس‌های پوش نوتیفیکیشن است که مشخصا مهاجمان از آن برای ارسال تبلیغات استفاده می‌کنند.

تصویر ۱۰ به‌صورت خلاصه سازوکار این نوع از دانلودرها را نشان می‌دهد. به عنوان مثال براساس کارکرد فایل‌های متادانلودر com.blod.taghziye و com.bestmaker.antipackage:

metadownloader.jpg

تصویر ۱۰- سازوکار متادانلودر PushIran.DL

۴) نوتیفیکیشن‌های غیرمرتبط

از دیگر موارد قابل توجه در مورد بدافزارهای PushIran.DL، نوتیفیکیشن‌هایی است که هیچ ارتباطی با کارکرد اپ‌‌ها و دسته‌بندی موضوعی آن‌ها ندارند. برای مثال در تصویر ۱۱ به چند نمونه از این نوع نوتیفیکیشن‌ها اشاره شده است.

notification-fa.jpg

تصویر ۱۱- نوتیفیکیشن‌های غیرمرتبط با کارکرد برنامه‌ها

مورد ۱: یک اپلیکیشن جعلی با آیکون برنامه سایفون و نام «غیر مجاز»، نوتیفیکیشنی با عنوان «به‌روزرسانی ماشین حساب» را به کاربر ارسال کرده که در آن به «دانلود رایگان یک اپلیکیشن ماشین حساب» اشاره شده است.

مورد ۲ و ۳: دو اپلیکیشن XoXo Girl Game و Hot Cartoon، مشابه اپلیکیشن جعلی سایفون، تبلیغی مشابه را برای کاربر ارسال کرده‌اند.

مورد ۴: اپلیکیشن جعلی «مجموعه +18»، نوتیفیکیشنی با عنوان «دلت هوای کربلا کرده؟» را برای کاربر ارسال کرده که در آن به دانلود و نصب اپلیکیشن «زیارت عاشورای صوتی ویژه ماه رمضان» اشاره شده است.

 

۵) نوتیفیکیشن‌های دیالوگی

یکی دیگر از انواع نوتیفیکیشن‌های مزاحم نمایش داده شده توسط اپلیکیشن‌های آلوده به PushIran.DL، پاپ‌آپ‌هایی هستند که اطلاعات مربوط به آن‌ها از طریق سرویس‌های پوش نوتیفیکیشن به دستگاه‌های آلوده ارسال می‌شوند. پاپ‌آ‌پ‌ها به‌عنوان دیالوگ‌های تبلیغاتی در صفحه اصلی دستگاه کاربر ظاهر می‌شوند، بدون اینکه کاربر از منبع نمایش آن مطلع شود. تصویر ۱۲، دو نمونه از این تبلیغات را نشان می‌دهد.

dialog-dotifications.jpg

تصویر ۱۲- پاپ‌آپ‌های تبلیغاتی مزاحم

 

۶) بمباران نوتیفیکیشنی

در صورتی که دستگاه کاربر به یکی از دانلودرهای PushIran.DL آلوده شود، به مرور زمان برنامه‌های آلوده جدیدتر به او پیشنهاد داده می‌شوند که پس از نصب این برنامه‌ها، عملا کاربر در ساعاتی از روز با بمباران نوتیفیکیشنی مواجه می‌شود؛ نوتیفیکیشن‌های تبلیغاتی تکراری که توسط اپلیکیشن‌های آلوده به‌صورت مشترک نمایش داده می‌شوند. تصویر ۱۳، بخشی از این نوتیفیکیشن‌ها را نشان می‌دهد.

Annoying-Notification-fa.jpg

تصویر ۱۳- نوتیفیکیشن‌های مزاحم تبلیغاتی مربوط به برنامه‌های آلوده PushIran.DL

۷) نوتیفیکیشن‌های فیشینگ

در بررسی‌های دو ماهه روی بدافزارهای PushIran.DL، ما هیچ مورد مشخصی به عنوان فیشینگ حساب‌های کاربری در شبکه‌های اجتماعی و... مشاهده نکردیم، اما معتقدیم این کار برای منتشرکنندگان این بدافزارها امکان‌پذیر است.

آنچه تا به‌ امروز ثابت شده آن است که مهاجمان از آیکون‌های برنامه‌های شناخته شده و معروف برای فریب کاربران سوءاستفاده می‌کنند و با تکیه به همین ترفند، به راحتی می‌توانند با ارسال پیام‌های جعلی، کاربران را به صفحات فیشینگ مختلف هدایت کنند. برای مثال تصویر ۱۴، سوءاستفاده آشکار سازندگان بدافزارهای PushIran.DL از آیکون اپلیکیشن جیمیل در نوتیفیکیشن ارسالی را نشان می‌دهد.

abuse-notification.jpg

تصویر ۱۴- سوءاستفاده از آیکون‌های دیگر برنامه‌ها

 

شیوع سرویس‌های پوش نوتیفیکیشن

در حال حاضر یکی از اصلی‌ترین راه‌های ارتباطی اکثر توسعه‌دهندگان اپ‌های موبایلی با کاربران از طریق پوش نوتیفیکیشن و سرویس‌های ارائه‌دهنده خدمات آن است؛ اما از آنجایی که هیچ کنترل و نظارت دقیقی درباره نحوه استفاده از پوش نوتیفیکیشن از سوی ارائه‌دهندگان این سرویس‌ها وجود ندارد، سرویس‌های پوش نوتیفیکیشن را می‌توان یکی از مشکلات جدید و جدی کاربران تلفن همراه در ایران دانست. این نکته را هم باید بیان کرد که در حال حاضر مهاجمان با تکیه بر این سرویس‌ها ـ که به عنوان یک راه کنترل از راه دور بدافزارهاست ـ از آنها سوءاستفاده می‌کنند.

سرویس‌هایی مانند MagnetAdServices.com، Adad.ir، OneSignal.com، Pushe.ir و... در حال حاضر از جمله مواردی محسوب می‌شوند که در بین توسعه‌دهندگان ایرانی بیشترین میزان کاربر را به خود اختصاص داده‌اند.

براساس اطلاعات منتشر شده توسط وب‌سایت «رتبه‌نگار»۱۲، سرویس‌ پوش نوتیفیکیشن pushe.ir ششمین وب‌سایت پربازدید براساس ترافیک شبکه اینترنت در ایران است. وب‌سایتی که در ماه‌های اخیر سرویس‌های آنتی‌ویروس نسبت به انتشار بدافزار و تبلیغات مزاحم توسط آن حساس‌‌تر شده‌اند و در صورتی که این روند ادامه پیدا کند، می‌توان انتظار داشت که pushe.ir به عنوان یک ابزار و سرویس مخرب ایرانی، در لیست سیاه تمام آنتی‌ویروس‌ها و نرم‌افزارهای امنیتی قرار بگیرد.

rank.jpg

جدول ۴- لیست وب‌سایت‌های پربازدید براساس ترافیک شبکه اینترنت ایران

 

شبکه ارتباطات PushIran.DL

برای تکمیل اطلاعات مرتبط با منتشرکنندگان بدافزارهای خانواده PushIran.DL و شناخت کامل ساختار این بات‌نت تبلیغاتی، جزئیات ارتباطات و سوابق فعالیت‌های تعدادی از بدافزارها مورد بررسی قرار گرفتند. نتایج این بررسی نشان می‌دهد که شرکت‌ها و افراد منتشرکننده این بدافزارها، از نظر فنی و زیرساختی در بستر شبکه، با یکدیگر در ارتباط و تعامل هستند و در تسریع توزیع و گسترش این بات‌نت نقش دارند.

استفاده مشترک از سرورهای خصوصی اشتراک‌گذاری فایل به‌عنوان محل ذخیره‌سازی و انتشار فایل‌های آلوده، واگذاری سرورهای مورد استفاده به افراد مرتبط با بدافزارهای PushIran.DL، محافظت از مشخصات ثبت کننده دامین‌ها برای مخفی نگه داشتن هویت دارندگان دامین‌ها، الگوی یکسان در ساختار کدهای مورد استفاده در بدافزارها و استفاده از سرویس‌های ارسال نوتیفیکیشن از جمله موارد قابل توجهی هستند که در بررسی سوابق این بدافزارها به چشم می‌خورد و با کنار هم قرار دادن این اطلاعات، می‌توان به ارتباطات این بات‌نت تبلیغاتی پی‌ برد.

همچنین براساس مستندات به‌دست آمده از ارتباطات سرورها و تحلیل بدافزارهای منتشر شده، سازندگان این بدافزارها در یک دوره محدود به‌طور مستقیم با سرورهای شرکت پیک‌آسا۱۳ (ارائه‌دهنده خدمات پیامک و ارزش افزوده) ارتباط داشته‌اند که در حال حاضر این ارتباط متوقف شده است.

به عنوان مثال بدافزارهایی مانند ir.pushiran.hamrahdownloader5 و ir.vira_tel.dawnloader61 که توسط دو توسعه‌دهنده متفاوت ایجاد شده‌اند، به‌صورت مشترک در یک دوره زمانی مشخص از دامنه‌های tci-test.peykasa.ir و tci-srv.peykasa.ir ـ که هر دو متعلق به وب‌سایت peykasa.ir هستند ـ برای ثبت اطلاعات مرتبط با خدمات ارزش افزوده مخابراتی مشترکان همراه اول، استفاده می‌کردند.

تصویر ۱۵، بخشی از ارتباطات کلی این بدافزارها در بستر شبکه را نشان می‌دهد.

network.jpg

تصویر ۱۵- ساختار ارتباطات شبکه برخی از بدافزارهای PushIran.DL

نتیجه‌گیری

هر چند که بات‌نت PushIran.DL دارای ساختار پیچیده‌ای نیست، اما آن را می‌توان بدافزار خطرناکی دانست که تاکنون به کاربران تلفن‌های همراه در ایران میلیاردها تومان ضرر مالی وارد کرده است. علاوه بر این، PushIran.DL این اجازه را به خرابکاران سایبری می‌دهد (همچنین دولت و سازمان‌های اطلاعاتی/امنیتی در ایران) که سیستم شنود گسترده‌ای را علیه کاربران ایران راه‌اندازی کنند؛ ما در گذشته شاهد این دست همکاری‌ها بین خرابکاران سایبری/هکرها با دولت و دستگاه‌های اطلاعاتی/امنیتی در کشور بوده‌ایم.۱۵

از همین رو، ما پیشنهادهایی به شرکت‌های فعال در زمینه تکنولوژی، سیاست‌گذاران، افراد فعال در سازمان‌های مدنی و کاربران اینترنت داریم تا خطر خانواده بدافزاری PushIran.DL را به میزان چشم‌گیری کاهش دهند.

پیشنهادات ما به شرکت‌های فعال در زمینه تکنولوژی و سیاست‌گذاران آن است که:

  • روی فروشگاه‌های اپلیکیشن‌های اندرویدی مانند کافه بازار و گوگل پلی فشار بیاورند تا این اپلیکیشن‌های مخرب را هر چه زودتر حذف کنند. با توجه به عدم پاسخگویی و واکنش کند و دیر این فروشگاه‌ها، یک اقدام هماهنگ در این زمینه لازم است.
  • اطمینان حاصل کردن از به‌روز شدن تمامی آنتی‌ویروس‌های موجود در بازار برای شناسایی PushIran.DL و بدافزارهای مشابه. هم‌اکنون تنها چند نرم‌افزار آنتی‌ویروس مانند کسپرسکی و آویرا خانواده بدافزاری PushIran.DL را شناسایی می‌کنند.

پیشنهادات ما به رسانه‌های خارج از ایران و جامعه مدنی این است که:

  • افزایش آگاهی ایرانیان از طریق کانال‌های مختلف مانند تلویزیون، رادیو، وب‌سایت و شبکه‌های اجتماعی. بسیاری از قربانیان این‌گونه حملات از تاثیر و خطرات آنها آگاه نیستند و در برخی موارد از آلوده بودن دستگاه موبایل‌شان نیز با خبر نیستند.

پیشنهادات ما به کاربران اینترنت و تلفن همراه این است که:

  • هیچ اپلیکیشن موبایلی را از فروشگاه‌های غیرمعتبر دانلود نکنند. کاربران باید قبل از دانلود و نصب یک اپلیکیشن، حتما بخش نظرات و توضیحات اپلیکیشن مورد نظرشان را بخوانند.
  • از نصب یک آنتی‌ویروس روی تلفن همراه‌شان اطمینان حاصل کنند و آن را همواره به‌روز نگه دارند.
  • تمام نوتیفیکیشن‌هایی را که دریافت می‌کنند بررسی و از درست بودن آنها اطمینان حاصل کنند. کاربران باید از توجه و واکنش به نوتیفیکیشن‌های غیرعادی و مشکوک خودداری کنند.

 

 

 

منبع: سرتفا

certfa-logo-fa-beta.png

به اشتراک گذاری این پست


لینک به ارسال
به اشتراک گذاری در سایت های دیگر

برای ارسال نظر یک حساب کاربری ایجاد کنید یا وارد حساب خود شوید

برای اینکه بتوانید نظر ارسال کنید نیاز دارید که کاربر سایت شوید

ایجاد یک حساب کاربری

برای حساب کاربری جدید در انجمن ما ثبت نام کنید. عضویت خیلی ساده است !


ثبت نام یک حساب کاربری جدید

ورود به حساب کاربری

دارای حساب کاربری هستید؟ از اینجا وارد شوید


ورود به حساب کاربری