شناسایی 500 بدافزار موبایلی؛ از پوشش ادعیه تا عناوین غیراخلاقی!
تاریخ انتشار: ۲۱ آذر ۱۳۹۷ | کد خبر: ۲۱۹۲۵۳۲۱
روز گذشته گزارشی منتشر شد که نشان میداد طبق بررسیهای اخیر درباره اپلیکیشنهای مخرب در فضای مجازی و مارکتهای ایرانی، بیش از 500 نرمافزار موبایلی با موضوعات متنوع شناسایی شده که عوامل آن سعی بر آلودهسازی طیف گستردهای از کاربران را داشتهاند.
به گزارش ایسنا، محمدجواد آذری جهرمی - وزیر ارتباطات و فناوری اطلاعات - اعلام کرده که "یک شرکت، در مدت کوتاهی بیش از ۵۰۰ نرم افزار موبایلی توسعه داده است.
بیشتر بخوانید:
اخباری که در وبسایت منتشر نمیشوند!
اما جریان چه بود؟ طبق اعلام مرکز ماهر - مرکز مدیریت امداد و هماهنگی رخدادهای رایانهای -، برنامههای مذهبی و ادعیه و برنامههایی با عناوین مستهجن در لیست برنامههای منتشر شده وجود دارد که فقط یکی از این برنامههای آلوده که منتشر شده است، بالای یک میلیون نفر کاربر دارد.
موضوعات بدافزارهای منتشر شده توسط این شرکت بسیار متنوع است که نشان میدهد عوامل آن سعی بر آلوده سازی طیف گستردهای از کاربران را داشتهاند. این شرکت چند برنامه از جمله برنامه «کیبورد هوشمند همه کاره» را نیز در مارکت نیز منتشر کرده که تعداد کاربران آن بالای یک میلیون نفر است. براساس یافتهها باید گفت این شرکت بیش از آنکه یک شرکت توسعهدهنده برنامههای اندرویدی باشد، یک شرکت تبلیغاتی است که به منظور رسیدن به مشترکان (قربانیان) بیشتر، دست به کارهای غیرقانونی و آلوده سازی کاربران میزند.
از جمله مهمترین اقدامات مخرب که توسط بعضی از توسعهدهندههای سودجو در فضای مجازی کشور در حال انجام است، میتوان به موارد ذیل اشاره کرد:
1- انتشار برنامههای مخفی (برنامههایی که پس از نصب آیکون خود را مخفی کرده و کاربر به سادگی قادر به حذف آنها نیست).
2- انتشار برنامههای واسط یا دانلودر که در ازای دانلود یک برنامه رایگان، کاربر را عضو سرویس ارزشافزوده میکند.
3- ارسال تبلیغات آزار دهنده و پوش نوتیفیکیشن (اغلب به منظور تبلیغ سرویسهای ارزشافزوده)
4- برنامههایی که به صورت مخفیانه و بدون اطلاع کاربر به دانلود بدافزارهای دیگر و یا برنامههایی که برای استفاده از آنها باید عضو سرویس ارزشافزوده شد، میپردازند.
5- نصب تضمینی برنامههای اندرویدی (دانلود پنهانی و نمایش صفحه نصب اپهای جدید بهصورت اجباری)
6- ارسال نوتیفیکیشن براساس اپراتور مخابراتی، موقعیت مکانی، گروه سنی، جنسیت و مدل دستگاه کاربر
7- افزایش بازدید پستهای تلگرامی و اینستاگرامی
8- نمایش پاپآپهای تبلیغاتی
9- کلیک دزدی برای بالا بردن میزان بازدید وبسایتهای مختلف
10- هدایت کاربر به صفحات و وبسایتهای مختلف، مانند وبسایتهای خدمات ارزشافزوده
اما در مردادماه سال جاری، گزارشهای دیگری از تخلفات این شرکت و بدافزارهای پوش ایران در اینترنت منتشر شده که در آن اطلاعاتی درمورد این شرکت آورده شده است. در ادامه خلاصه از اقدامات این اپلیکیشنها بدون ذکر نام شرکت و برنامهها آمده است.
رفتار کلی بدافزارهای منتشرشده
به صورت کلی بدافزارهایی که توسط شرکت فوق الذکر توسعه داده شده است، رفتارهای مختلفی دارندکه خلاصهای از این دستهبندی در ادامه آورده شده است.
دانلودرها
بررسیهای فنی روی نمونه بدافزارهای PushIran.DL نشان میدهد که فایلهای دانلودر پس از آلودهسازی دستگاههای اندرویدی، با سرورهای فرمان و کنترل مهاجمان ارتباط برقرار میکنند. این ارتباط بهمنظور ثبت اطلاعات اولیه دستگاهها (مانند مدل دستگاه، نوع اپراتور مخابراتی، موقعیت مکانی و...) است.
پس از آن، مهاجمان از طریق ارسال فرمانهای مختلف از طریق پوش نوتیفیکیشنها (مانند پیامهای تبلیغاتی، لینک دانلود اپلیکیشنهای مختلف، هدایت کاربر به وبسایتهای مختلف)، این بدافزارها را از راه دور کنترل میکنند.
برخی از این دانلودرها بهصورت پیشفرض و بلافاصله پس از اجرای اولیه، فایلهای APK مشکوک جدید را از اینترنت دریافت میکنند. این مساله از طریق فراخوان لینک فایل که در کدهای دانلودر از پیش تعبیه شده است، صورت میگیرد.
مهاجمان برای توزیع اپلیکیشنهای APK مشکوک (فایلهایی که ممکن است بدافزارهایی مخربتر باشند) از دو شیوه کلی پیروی میکنند:
سرورهای خصوصی: استفاده از سرورهای خصوصی، امکان جایگزین کردن برنامههای کاربردی سالم با فایلهای آلوده را به راحتی برای مهاجمان فراهم میکند.
سرویسهای اشتراکگذاری فایل: در برخی موارد مهاجمان برای مخفی نگه داشتن ردپاهای خود و تسریع در پخش فایل و ارائه میزان دقیق دانلود فایل به سفارشدهندگان تبلیغات، از سرویسهای عمومی اشتراکگذاری فایل استفاده میکنند.
دانلودرهای فروشگاهی
در بررسی فایلهای آلوده PushIran.DL، دانلودرهایی مشاهده شدهاند که هدف اصلی از انتشار آنها، بالا بردن میزان تعداد کاربران استفادهکننده از اپهای منتشر شده در فروشگاههای برنامههای اندرویدی بوده است.
از آنجا که برخی از فروشگاههای برنامههای اندرویدی میزان آمار نمایش داده شده برای «تعداد نصب برنامه» را براساس شمارش تعداد برنامههای نصب شده روی دستگاههای کاربران محاسبه میکنند، سازندگان این بدافزارها از این مساله برای بالا بردن تعداد کاربران خود سوءاستفاده میکنند.
همچنین این دانلودرها، مانند تمام فایلهای آلوده به PushIran.DL، اطلاعات دستگاههای اندرویدی کاربران را در سرویسهای ارسال نوتیفیکیشن ثبت میکنند.
متادانلودرها
نوع دیگر از فایلهای آلوده PushIran.DL، دانلودرهایی هستند که پس از آلودهسازی دستگاههای کاربران، یک دانلودر جدید را دریافت میکنند. این دانلودرها امکان نصب بدافزارهای متفاوت و جدیدتر را برای مهاجمان فراهم میسازند.
این موضوع شاید در نگاه نخست مقداری عجیب بهنظر برسد، اما پس از بررسیهای مختلف میتوان گفت که در حال حاضر هدف اصلی از انتشار این نوع از فایلها، صرفا ایجاد پایگاههای کاربری در سرویسهای پوش نوتیفیکیشن است که مشخصا مهاجمان از آن برای ارسال تبلیغات استفاده میکنند.
نوتیفیکیشنهای غیرمرتبط
از دیگر موارد قابل توجه در مورد بدافزارهای PushIran.DL، نوتیفیکیشنهایی است که هیچ ارتباطی با کارکرد اپها و دستهبندی موضوعی آنها ندارند.
نوتیفیکیشنهای دیالوگی
یکی دیگر از انواع نوتیفیکیشنهای مزاحم نمایش داده شده توسط اپلیکیشنهای آلوده به PushIran.DL، پاپآپهایی هستند که اطلاعات مربوط به آنها از طریق سرویسهای پوش نوتیفیکیشن به دستگاههای آلوده ارسال میشوند. پاپآپها بهعنوان دیالوگهای تبلیغاتی در صفحه اصلی دستگاه کاربر ظاهر میشوند، بدون اینکه کاربر از منبع نمایش آن مطلع شود.
بمباران نوتیفیکیشنی
در صورتی که دستگاه کاربر به یکی از دانلودرهای PushIran.DL آلوده شود، به مرور زمان برنامههای آلوده جدیدتر به او پیشنهاد داده میشوند که پس از نصب این برنامهها، عملا کاربر در ساعاتی از روز با بمباران نوتیفیکیشنی مواجه میشود؛ نوتیفیکیشنهای تبلیغاتی تکراری که توسط اپلیکیشنهای آلوده بهصورت مشترک نمایش داده میشوند.
انتهای پیام
منبع: ایسنا
کلیدواژه: بدافزارها
درخواست حذف خبر:
«خبربان» یک خبرخوان هوشمند و خودکار است و این خبر را بهطور اتوماتیک از وبسایت www.isna.ir دریافت کردهاست، لذا منبع این خبر، وبسایت «ایسنا» بوده و سایت «خبربان» مسئولیتی در قبال محتوای آن ندارد. چنانچه درخواست حذف این خبر را دارید، کد ۲۱۹۲۵۳۲۱ را به همراه موضوع به شماره ۱۰۰۰۱۵۷۰ پیامک فرمایید. لطفاً در صورتیکه در مورد این خبر، نظر یا سئوالی دارید، با منبع خبر (اینجا) ارتباط برقرار نمایید.
با استناد به ماده ۷۴ قانون تجارت الکترونیک مصوب ۱۳۸۲/۱۰/۱۷ مجلس شورای اسلامی و با عنایت به اینکه سایت «خبربان» مصداق بستر مبادلات الکترونیکی متنی، صوتی و تصویر است، مسئولیت نقض حقوق تصریح شده مولفان در قانون فوق از قبیل تکثیر، اجرا و توزیع و یا هر گونه محتوی خلاف قوانین کشور ایران بر عهده منبع خبر و کاربران است.
خبر بعدی:
مسدود شدن پنج صفحه مجازی با محتوای غیراخلاقی در زرند
به گزارش خبرگزاری مهر، رضا یعقوبی، بیان اینکه به درخواست پلیس فتای شهرستان زرند در خصوص انتشار محتوای مجرمانه و تصاویر نامتعارف در فضای مجازی، دستور مسدود سازی پنچ صفحه مجازی صادر و گردانندگان آنها تحت تعقیب کیفری قرار گرفتهاند گفت: ایجاد بستری امن و سالم در فضای مجازی از اولویتهای دستگاه قضائی است.
وی با اشاره به اینکه رصد و پایش فضای مجازی به طور مستمر از طریق پلیس امنیت اخلاقی شهرستان و دیگر نهادهای امنیتی انجام میشود افزود: با دریافت گزارش فعالیت غیر اخلاقی پنج صفحه که در شبکههای اجتماعی اقدام به ترویج رفتارهای خلاف اخلاق و عفت عمومی در بین جوانان میکردند، بلافاصله صاحبان این صفحات برای پاسخگویی به دادسرای زرند احضار شدند.
وی تصریح کرد: با تشکیل پرونده قضائی و احضار متهمین، ضمن تفهیم اتهام، قرار تأمین متناسب برای متهمین صادر و با صدور قرار نظارت قضائی، از فعالیت این صفحات با لحاظ مقررات قانونی جلوگیری به عمل آمده تا روند رسیدگی قانونی به جرایم ارتکابی ادامه یابد.
کد خبر 6088351