عدالت همراه، اپلیکیشن جعل خدمات دولتی!

در شایع‌ترین حملات فیشینگ، کلاهبردارها با طراحی اپلیکیشن‌های جعلی دربردارنده عناوینی مرتبط با ارائه خدمات دولتی و سازمانی و انتشار آنها از طریق ارسال پیامک‌های حاوی لینک، به کلاهبرداری و سرقت اطلاعات شخصی و مالی قربانیان اقدام می‌کنند.

طراحی و توزیع اپلیکیشن‌های جعلی خدمات دولتی همچون عدالت همراه، غالبا با هدف دسترسی به اطلاعات شبکه، ارسال و دریافت و خواندن پیام‌های متنی (sms)، دسترسی به اطلاعات حساس کاربر و مشخصات گوشی (پیام‌ها , اطلاعات سیمکارت , شناسه یکتای گوشی (deviceid), مشخصات شبکه، androidid، شماره تلفن، مخاطبین گوشی و… صورت می‌پذیرد.

برای آشنایی بیشتر با تکنیک فیشینگ می‌توانید به مقاله‌های ‌حمله فیشینگ و راه‌های حفاظت از آن مراجعه نمایید.

عملکرد بدافزار “عدالت همراه”

روال کار این نوع بدافزارها بدین صورت است که قربانی، ابتدا پیامکی به ظاهر قانونی با لینک به یک صفحه فیشینگ که جعل خدمات دولتی است دریافت می‌کند، در ادامه کار از قربانی درخواست دانلود یک برنامه اندرویدی مخرب و سپس  پرداخت هزینه‌ اندکی برای این سرویس مطرح می‌شود. به گزارش کارشناسان آزمایشگاه تحلیل بدافزار پادویش، این برنامه مخرب نه تنها شماره کارت اعتباری قربانی، بلکه به پیام‌های احراز هویت 2FA (رمز دوم کارت بانکی ) آنها نیز دسترسی می‌یابد. سپس گوشی قربانی به باتی تبدیل می‌شود که به ارسال پیامک‌های فیشینگ مشابه به سایر قربانیان احتمالی می‌پردازد. بدافزارهایی از این دست، دارای مشخصه یکسان با نام پکیج “ir.shz.shzkisi“ هستند و در شروع کار با وعده‌های مختلفی مانند ارائه خدمات بیشتر ازجمله دسترسی به ابلاغیه دادگاه، دریافت سهام عدالت، یارانه، کارت سوخت، هدیه ایترنت رایگان و… در ازای درخواست مبلغی ناچیز، کاربران را به صفحه پرداخت بانکی انتقال می‌دهند. اما صفحه پرداختی که به کاربر نمایش داده می‌شود صفحه‌ای جعلی بوده و به محض ورود اطلاعات حساب توسط کاربر و انتخاب گزینه پرداخت، علاوه بر برداشت مبلغ درخواست شده، تمامی این اطلاعات برای مهاجم ارسال می‌شود، بدین ترتیب سرقت اطلاعات مالی قربانیان صورت می‌پذیرد. دسترسی‌های خطرناک این برنامه عبارت است از دسترسی به مخاطبین گوشی، ارسال پیامک، دریافت پیامک، خواندن پیامک.

هدف بدافزار

• دسترسی به اطلاعات شبکه
• ارسال و دریافت و خواندن پیام‌های متنی (sms)
• دسترسی به اطلاعات کاربر و مشخصات گوشی از جمله پیام‌ها , اطلاعات سیم‌کارت , شناسه یکتای گوشی (deviceid), مشخصات شبکه، androidid، شماره تلفن، مخاطبین گوشی کاربر و…

اکتیویتی اصلی بدافزار

در این اکتیویتی بدافزار ابتدا مجوزهای زیر را از کاربر درخواست می‌نماید:

• android.permission.RECEIVE_SMS
• android.permission.SEND_SMS
• android.permission.READ_SMS
• android.permission.READ_CONTACTS

سپس بدافزار با استفاده از متد CheckAndRequest بررسی می‌کند که آیا هر کدام از مجوزهای بالا از کاربر گرفته شده است یا خیر ؟! در صورت عدم دریافت مجوز‌ها  از کاربر، پیغام “کاربر گرامی برای ادامه کار با نرم افزار نیاز به فعال‌سازی این دسترسی دارید” را به کاربر نمایش داده و آن را مجدد از کاربر درخواست می‌نماید. در متد _checkinternet اتصال به اینترنت بررسی می‌شود و در صورت عدم اتصال به اینترنت پیغام “دستگاه به اینترنت متصل نیست” به کاربر نماش داده می‌شود. در صورت برقراری ارتباط با اینترنت بدافزار از سرور C2 خود یعنی “hxxps[:]//dargahhdhs.gq/eb” فایل url.txt را از آدرس “hxxps[:]//dargahhdhs.gq/eb/url.txt” دانلود می‌کند. محتوای این فایل حاوی آدرس url است که در این اکتیویتی در قالب وب ویو نمایش داده می شود. به دلیل اینکه سرور بدافزار از کار افتاده محتوای این آدرس قابل دانلود و مشاهده نمی باشد، اما مانند سایر بدافزارهای این خانواده به صفحه‌ای هدایت می‌شود که از کاربر می‌خواهد جهت مشاهده ابلاغیه مبلغی را پرداخت کند و در نتیجه کاربر به درگاه بانک جعلی متصل شده و اطلاعات بانکی وی به سرور بدافزار ارسال و در ادامه سرویس firebasemessaging برای دریافت دستورات مخرب از سرور C2 بدافزار راه‌اندازی می‌شود.

‫بدافزارهای مشابه

بدافزارهای مشابه عدالت همراه با نام‌های مختلفی مانند سامانه ثنا، سهام عدالت و یارانه و … معمولا با ایجاد تغییرات جزئی در نام پکیج، آدرس سرور C2 بدافزار و مواردی از این قبیل، به کلاهبرداری و سرقت اطلاعات شخصی و بانکی قربانیان مبادرت می‌ورزند. علاوه بر این عملکرد کلی این بدافزارها کاملا مشابه هم است. متاسفانه لازم به ذکر است که توزیع بدافزارهایی از این دست، در کانال‌های اپلیکیشن‌های داخلی مانند «بله» به طور فزاینده‌ای گسترش یافته است. نام پکیج برخی بدافزارهای مشابه به شرح زیر است:

• com.akapps.randomnumbergenerator
• edward.org
• io.spck
• app.retrofit.android
• com.rez.ir
• com.occupancy.dev

راهکارهای مقابله

• برای اطمینان از عدم آلودگی دستگاه، آنتی‌ ویروس پادویش را نصب کرده و فایل پایگاه داده آن را به‌روز نگه دارید و اسکن آنتی ویروس را انجام دهید.
• همواره ‫به سرشماره پیامک دریافتی توجه کنید! پیامک‌های مربوط به سامانه ثنا و ابلاغ قضایی یا سهام عدالت دارای سرشماره‌های مخصوص به خود هستند و به هیچ وجه از شماره شخصی افراد ارسال نمی‌گردند.
• ابلاغ الکترونیکی صرفا برای افرادی که در آن ثبت نام کرده‌اند، ارسال می‌شود و فاقد هرگونه لینکی است.
• از باز کردن لینک‌‌‌های موجود در پیامک‌های مشکوک و ناشناس مذکور اجتناب کنید.
• قابل توجه است که هیچ گونه نیازی به واریز وجه جهت مشاهده ابلاغ الکترونیک و سهام عدالت وجود ندارد.
• از دانلود و نصب برنامه از منابع و مارکت‌های موبایلی نامعتبر خودداری کنید.
• هنگام نصب برنامه‌های موبایلی، به مجوزهای درخواستی بسیار دقت کنید.