تحلیل یک "بدافزار" اندرویدی + مستندات

معاونت امنیت فضای تولید و تبادل اطلاعات مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌ای به تحلیل و اجرای بدافزار اندرویدی یک فیلترشکن در محیط آزمایشگاهی پرداخت و نتایج را ارائه کرد.

به گزارش خبرنگار فناوری اطلاعات باشگاه خبرنگاران پویا؛ اوایل دی ماه سال جاری لینک یک برنامه اندرویدی از طریق پیامک در مقیاس وسیع توسط کاربران تلفن همراه دریافت شد؛ در این مستند به بررسی ماهیت و چگونگی عملکرد این برنامه می‌پردازیم.

مشخصات فایل مورد بررسی عبارتند از:

File Name:  vpn.apk
Size:  336.0  kB
MD5 : 562e02130fcbdea7cc0d2a527aee6c05

اجرای این برنامه در محیط آزمایشگاهی صورت گرفته است؛ پس از نصب، برنامه‌ای با عنوان VPNSecure به فهرست برنامه‌ها اضافه می‌شود.

با اجرای این برنامه پیغام خطایی مبنی بر عدم سازگاری برنامه با این تلفن همراه توسط برنامه نمایش داده می‌شود:

به‌طور همزمان بدون دخالت کاربر، به تمام مخاطبان کاربر پیامکی حاوی لینک دریافت این فایل ارسال شده و سپس همه مخاطبان حذف می‌شوند.

در همین زمان به مدت 60 ثانیه حالت لرزش تلفن به‌صورت پیوسته فعال می‌شود. پس از آن نیز صفحه‌ای حاوی یک لوگو هر چندثانیه یکبار بر روی صفحه نمایش داده می‌شود.


تحلیل داینامیک

به‌منظور بررسی دقیقتر برنامه نتایج اجرای آن در یکی از سندباکسهای آنلاین مشاهده شد.

جستجو نشان داد این برنامه در تاریخ 15 دی ماه بر روی سندباکس آنلاین koodous.com بارگزاری شده است:

مهمترین نکات قابل برداشت در نتایج این تحلیل داینامیک توسط مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌ای در جدول زیر ارائه شده‌‌اند:

هچنین نتایج تحلیل این سامانه نشان می‌دهد که برنامه تحت بررسی هیچ فعالیت شبکه‌ای ندارد:

تحلیل استاتیک (تحلیل کد)

مهندسی معکوس برنامه و مطالعه کدهای آن ضمن تأیید نتایج تحلیل داینامیک، نتایج زیر را به‌دست می‌دهد:

•    عملکرد برنامه در یک سرویس و دو صفحه (activity) خلاصه می‌شود.
•    هیچ رفتار و قابلیت دیگری اضافه بر موارد شرح داده شده در برنامه پیاده‌سازی نشده است.
•    عملکرد ارسال لینک به مخاطبان از طریق پیامک، فعالسازی لرزش و حذف مخاطبان در سرویس MyService پیاده‌سازی شده است.

نحوه پاکسازی

در صورت آلودگی به این بدافزار، کافی است از طریق Settings قسمت
apps، نسبت به متوقف‌سازی و حذف اپلیکیشن با عنوان VPNsecure اقدام کنید:

خلاصه نتایج

در پی انتشار این بدافزار در بین کاربران تلفنهای همراه اندرویدی کشور و ادعای انتصاب آن به نهادهای دولتی،‌ بررسی فنی برای شناخت ماهیت و چگونگی عملکرد آن در مرکز ماهر صورت گرفت که خلاصه نتایج این بررسی به این شرح است:

•    این اپلیکیشن پس از اجرا به تمام مخاطبان کاربر، پیامکی حاوی لینک دریافت این فایل را ارسال کرده و سپس همه مخاطبان را حذف می‌کند.
•    اپلیکیشن ساختار و طراحی ابتدایی و ساده دارد.
•    غیر از عملکرد شرح داده شده، هیچ قابلیت و عملکرد دیگری در این اپلیکیشن وجود ندارد.
•    هیچ‌گونه ارتباط اینترنتی، سرقت اطلاعات و تماس با سرور کنترلی وجود ندارد.
•    لینک ارسالی توسط پیامک بر بستر سرویس ابری شرکت آمازون بوده که در حال حاضر غیرفعال شده است.

انتهای پیام/