بدافزار SmsBot،بدافزاری مخفی در‌برخی برنامه‌های اندرویدی

خبر اختصاصی پادویش؛ کاربران برنامه‌ای را با نام “فال” از مارکت‌های برنامه‌های موبایل دانلود می‌کنند ولی در عمل بدافزار اندرویدی SmsBot است. این بدافزار بعنوان یک Bot اندرویدی، برای رسیدن به اهداف بدخواهانه خود، از سرور C&C سامانه ارائه دهنده تبلیغات(onesignal) به گوشی‌های اندرویدی بعنوان مرکز کنترل و فرمان خود استفاده می‌کند. روال کار بدین صورت است که در ابتدا مهاجم به‌منظور ثبت اطلاعات اولیه گوشی کاربر (مانند مدل گوشی، نوع اپراتور مخابراتی، موقعیت مکانی و …) به سرویس پوش نوتیفیکیشن، اطلاعات را در قالب فایل json  ارسال می‌کند که این اطلاعات در فایل(sharepreference) در گوشی قربانی ذخیره می‌شود. در ادامه سرور مربوطه، از طریق ارسال  json به گوشی کاربر به صورت اعلان‌های مختلف پاسخ می‌دهد. با کلیک کاربر بر روی هریک از این اعلان‌ها، کد آلوده‌ای در پس زمینه اجرا می‌شود. روشی که بدافزار پیش گرفته اینگونه است که تبلیغات به صورت یک webview در برنامه باز می‌شود. فایل‌های HTML موجود ” file:///android_asset/www/index.html, file:///android_asset/www/indexv2.html” در برنامه با استفاده از webview لود می‌شوند. همچنین این امکان را می‌دهد که کدهای javascript به راحتی روی صفحه لود شده، اجرا شوند. به این تکنیک تزریق javascript در webview گفته می‌شود.

فایل json ارسالی از سمت سرور، با استفاده از سرورهای خصوصی، امکان جایگزین کردن فایل‌های آلوده را با برنامه‌های کاربردی سالم به راحتی برای مهاجمان فراهم می‌کند. نمونه سرورهای خصوصی استفاده شده در این بدافزار (http://141.105.69.168 , http://141.105.69.159 ) می‌باشند. بدین ترتیب که محتوی تبلیغات نمایش داده شده حاکی از نصب برنامه های سالم است ولی به محض کلیک کاربر برروی آنها، فایل آلوده به واسطه لینک‌های آلوده‌ای که در فایل json قرار داده شده، دانلود می‌شود. همچنین مهاجمان برای مخفی نگه داشتن ردپاهای خود و تسریع در پخش فایل و ارائه میزان دقیق دانلود فایل به سفارش‌دهندگان تبلیغات از سرویس‌های اشتراک‌گذاری فایل استفاده می‌کنند. برای مثال می‌توان به سرویس “uupload.ir” اشاره کرد. که از آن برای نمایش تصویر تبلیغات، استفاده می‌شود.

این بدافزار جزو خانواده متادانلودرها نیز می‌باشد. در حقیقت پس از آلوده‌سازی گوشی کاربر، یک دانلودر جدید را با نام “My file management” لود می‌کند. پس از نصب فایل دانلودر در گوشی، این فایل، مجددا بدافزار دیگری از همین خانواده را دانلود می‌کند و نیز برای بالا بردن تعداد دانلودهای اپلیکیشن‌های سالم و در واقع تبلیغات برای آنها، اقدام می‌نماید.

این بدافزار توسط آنتی ویروس پادویش، شناسایی می­‌شود. شما می‌توانید برای دیدن جزئیات فنی از تحلیل این بدافزار و روش مقابله و پاک‌سازی دستگاه به اینجا مراجعه کنید.