خبر اختصاصی پادویش؛ کاربران برنامهای را با نام “فال” از مارکتهای برنامههای موبایل دانلود میکنند ولی در عمل بدافزار اندرویدی SmsBot است. این بدافزار بعنوان یک Bot اندرویدی، برای رسیدن به اهداف بدخواهانه خود، از سرور C&C سامانه ارائه دهنده تبلیغات(onesignal) به گوشیهای اندرویدی بعنوان مرکز کنترل و فرمان خود استفاده میکند. روال کار بدین صورت است که در ابتدا مهاجم بهمنظور ثبت اطلاعات اولیه گوشی کاربر (مانند مدل گوشی، نوع اپراتور مخابراتی، موقعیت مکانی و …) به سرویس پوش نوتیفیکیشن، اطلاعات را در قالب فایل json ارسال میکند که این اطلاعات در فایل(sharepreference) در گوشی قربانی ذخیره میشود. در ادامه سرور مربوطه، از طریق ارسال json به گوشی کاربر به صورت اعلانهای مختلف پاسخ میدهد. با کلیک کاربر بر روی هریک از این اعلانها، کد آلودهای در پس زمینه اجرا میشود. روشی که بدافزار پیش گرفته اینگونه است که تبلیغات به صورت یک webview در برنامه باز میشود. فایلهای HTML موجود ” file:///android_asset/www/index.html, file:///android_asset/www/indexv2.html” در برنامه با استفاده از webview لود میشوند. همچنین این امکان را میدهد که کدهای javascript به راحتی روی صفحه لود شده، اجرا شوند. به این تکنیک تزریق javascript در webview گفته میشود.
فایل json ارسالی از سمت سرور، با استفاده از سرورهای خصوصی، امکان جایگزین کردن فایلهای آلوده را با برنامههای کاربردی سالم به راحتی برای مهاجمان فراهم میکند. نمونه سرورهای خصوصی استفاده شده در این بدافزار (http://141.105.69.168 , http://141.105.69.159 ) میباشند. بدین ترتیب که محتوی تبلیغات نمایش داده شده حاکی از نصب برنامه های سالم است ولی به محض کلیک کاربر برروی آنها، فایل آلوده به واسطه لینکهای آلودهای که در فایل json قرار داده شده، دانلود میشود. همچنین مهاجمان برای مخفی نگه داشتن ردپاهای خود و تسریع در پخش فایل و ارائه میزان دقیق دانلود فایل به سفارشدهندگان تبلیغات از سرویسهای اشتراکگذاری فایل استفاده میکنند. برای مثال میتوان به سرویس “uupload.ir” اشاره کرد. که از آن برای نمایش تصویر تبلیغات، استفاده میشود.
این بدافزار جزو خانواده متادانلودرها نیز میباشد. در حقیقت پس از آلودهسازی گوشی کاربر، یک دانلودر جدید را با نام “My file management” لود میکند. پس از نصب فایل دانلودر در گوشی، این فایل، مجددا بدافزار دیگری از همین خانواده را دانلود میکند و نیز برای بالا بردن تعداد دانلودهای اپلیکیشنهای سالم و در واقع تبلیغات برای آنها، اقدام مینماید.
این بدافزار توسط آنتی ویروس پادویش، شناسایی میشود. شما میتوانید برای دیدن جزئیات فنی از تحلیل این بدافزار و روش مقابله و پاکسازی دستگاه به اینجا مراجعه کنید.
