بدافزارهای پوشفا PushIran.DL ، باسابقه‌ترین خانواده‌ی بدافزار اندرویدی ایرانی

بدافزارهای دسته " پوشفا " را شاید بتوان ازجمله قدیمی ترین و پرانتشارترین بدافزار های اندرویدی ایرانی تا به امروز دانست. براساس مشاهدات انجام شده، نخستین بدافزارهای این دسته از مرداد ماه 96 در پیام رسان تلگرام منتشر شده است. این درحالی است که در همان زمان، تلگرام در بین ایرانیان محبوبیت بیشتری پیدا کرده بود. متاسفانه آمار دقیقی از میزان آلودگی به این بدافزارها دردسترس نیست اما با توجه به فعالیت مستمر این بدافزار و انتشار روزانه حداقل 1 نسخه از بدافزار در صدها کانال تلگرامی در طی 17 ماه گذشته، انتظار می رود چندین میلیون از دستگاه های اندرویدی ایرانی به بدافزارهای پوشفا آلوده شده باشند. تاکنون بیش از 200 نمونه از این بدافزار  شناسایی شده است.

دانلود PDF گزارش مرکز ماهر            دانلود PDF لیست اپلیکیشن های آلوده به این بدافزار

 

 برای مشاهده تصاویر در ابعاد بزرگ تر روی آنها کلیک کنید

مجموعه بدافزارهای پوشفا مورد بررسی در این گزارش، که به‌اختصار PushIran.DL نامیده می‌شوند، خانواده‌ای از اپلیکیشن‌های جعلی و مخرب اندرویدی‌ هستند که از طریق پیام‌رسان تلگرام و همینطور دیگر بدافزارهای اندرویدی در شبکه موبایلی ایران منتشر شده‌اند. PushIran.DL با ترفندهای مختلف مانند انتشار دانلودر و اپلیکیشن‌های جعلی مخصوص بزرگسالان، ارسال پیامک و تبلیغات فریبنده نوتیفیکیشنی در سایر اپ‌های موبایلی، به‌سرعت در حال گسترش‌ است. سازندگان این مجموعه بدافزار به‌طور مداوم در حال توسعه نسخه‌های جدید و انتشار بیشتر فایل‌های آلوده هستند.

 

چکیده گزارش

با محبوبیت روزافزون تلفن‌های هوشمند در ایران، این ابزار هوشمند به یکی از بسترهای جذاب برای خلافکاران سایبری تبدیل شده است تا از طریق آن به درآمدهای میلیونی دست پیدا کنند. در این گزارش که اولین بخش از سری گزارش‌های سرتفا است، به یکی از شبکه‌های بزرگ کسب درآمد توسط خلافکاران سایبری در ایران پرداخته شده است. اهمیت این گزارش در این است که تاکنون هیچ سازمان و ارگانی با جزییات در مورد این دست فعالیت‌ها که میلیون‌ها تومان هزینه برای کاربران تلفن‌های هوشمند به بار آورده، صحبت نکرده است.

 

 این گزارش، به مجموعه‌ای از بدافزارها با نام PushIran.DL می‌پردازد که با اهدافی تقریبا مشترک منتشر شده‌اند و میزان دامنه آلودگی آن‌ها در حال افزایش است. مجموعه‌ای که پس از بررسی‌های مختلف می‌توان آن را یک بات‌نت بزرگ تبلیغاتی برای مصارف مختلف دانست.

 

تولید و انتشار بدافزار، سوءاستفاده از سرویس‌های شخص ثالث برای ارسال نوتیفیکیشن، دستکاری سایر برنامه‌ها و فریب کاربران، تنها گوشه‌ای از فعالیت سازندگان این بدافزارها است که حریم خصوصی و امنیت دیجیتال میلیون‌ها کاربر موبایل/تلفن هوشمند در ایران را با خطری جدی مواجه کرده است.

 

بدافزارهای خانواده PushIran.DL که هم‌اکنون تنها از آن‌ها برای مقاصد تجاری استفاده می‌شود، در اغلب موارد توسط آنتی‌ویروس‌های معتبر مانند Dr.Web ،Avira ،ESET NOD32 ،Kaspersky و Trend Micro شناسایی می‌شوند. کاربران در معرض خطر برای بررسی آلوده نبودن و پاکسازی دستگاه‌های خود، بهتر است از یکی از این آنتی‌ویروس‌ها استفاده کنند.

 

مقدمه

تولید بدافزارهای دانلودر و تبلیغ‌افزار به بخشی از فعالیت‌های اولیه کسب‌وکارهای حوزه نرم‌افزارهای موبایلی و تبلیغات اینترنتی در ایران تبدیل شده است. فعالیتی مجرمانه که منجر به افزایش دامنه آلودگی‌های موبایلی در کشور شده و در صورت عدم مقابله جدی با آن، می‌توان انتظار رویدادهایی با دامنه بسیار بزرگ‌تر و خطرناک‌‌تر در فضای سایبری ایران را داشت.

 

هر چند که آمار دقیقی از میزان آلودگی دستگاه‌های موبایلی به PushIran.DL در دست نداریم، اما معتقدیم که دامنه آلودگی‌های آن بیش از ۱۰ میلیون دستگاه اندرویدی در ایران بوده و تنها براساس مستندات جمع‌آوری شده از یکی از سرورهای فرمان و کنترل، این بدافزارها حدود ۱٬۳۶۹٬۰۰۰ دستگاه اندرویدی را آلوده کرده‌اند.

 

آنچه تا به امروز برای ما ثابت شده، این است که بدافزارهای خانواده PushIran.DL، زیرساخت اندرویدی یک بات‌نت بزرگ اسپم و تبلیغات موبایلی در ایران محسوب می‌شوند که دامنه‌ آلودگی‌های آن تا فروشگاه‌های برنامه‌های اندرویدی (رسمی و شخص ثالث) گسترش پیدا کرده است.

 

در تعریفی دقیق‌تر درباره PushIran.DL باید گفت که بدافزارهای آلوده به آن، در طبقه‌بندی آنتی‌ویروس‌های رسمی با عناوینی مانند نمونه‌های زیر شناسایی و دسته‌بندی می‌شوند:

 

 

 TrojanSMS.Agent 

 

 Android.Hiddad.GEN 

 

 Adware.Adpush 

 

 Android.HiddenApp.GEN 

 

 FakeAntiVirus 

 

 Fakealert

 

 

در حال حاضر بدافزارهای PushIran.DL با هدف ایجاد پایگاه‌‌های کاربری و ساخت بات‌نت موبایلی برای مصارف تبلیغاتی توسط مهاجمان منتشر می‌شوند و اصلی‌ترین فعالیت آن‌ها، سرقت اطلاعات دستگاه‌های اندرویدی و ثبت مشخصات کاربران در سرویس‌های پوش نوتیفیکیشن است. فعالیتی که سازندگان و منتشرکنندگان این بدافزارها هم‌اکنون از آن برای مصارف تبلیغاتی استفاده می‌کنند، اما می‌توان پیش‌بینی کرد که در آینده‌ای نزدیک، احتمال بهره‌برداری از این موضوع برای اهداف مخرب‌تر مانند پیاده‌سازی کمپین‌های فیشینگ، انتشار باج‌افزار و استخراج‌کننده‌های ارزهای دیجیتالی بسیار بالاست.

 

جزییات PushIran.DL

طبق تحقیقات انجام شده و بر پایه مستندات موجود، شرکت‌های «پویا ارتباطات رامان - Raman» و «راز گستران اندیشه فرتاک - Raaz» از عاملان اصلی انتشار بدافزارهای PushIran.DL و گسترش آن در شبکه موبایلی ایران هستند.

 

رامان: شرکت پویا ارتباطات رامان، در زمینه تولید اپلیکیشن‌های موبایل، فروش سورس کد و تبلیغات اینترنتی فعالیت می‌کند. این شرکت توسط محمدحسین کربلائی صادق، محمد نفط چی لنگرودی و سید حمید موسوی خوشدل ثبت شده و از ۲۶ تیرماه ۱۳۹۶ فعالیت رسمی خود را آغاز کرده است.

راز: شرکت راز گستران اندیشه فرتاک، در زمینه فناوری اطلاعات و ارتباطات، مشاوره، بازاریابی و تبلیغات اینترنتی فعالیت می‌کند. این شرکت توسط راضیه همتی گشتاسب، حمیده همتی گشتاسب، صغرا دیزگانی و پیام زمهریر ثبت شده و از ۷ خردادماه ۱۳۹۶ فعالیت رسمی خود را آغاز کرده است.

 

 

بازیگران اصلی

پس از تجزیه و تحلیل اطلاعات به‌دست آماده از بدافزارهای شناسایی شده و نظارت دو ماهه روی ارتباطات افراد منتشرکننده این بدافزارها، ما به این نتیجه رسیده‌ایم که شرکت‌ها و افراد بیشتری در انتشار بدافزارهای خانواده PushIran.DL سهیم هستند که در گزارش‌های بعدی به‌صورت مفصل به آن‌ها پرداخته خواهد شد؛ اما براساس مستندات به‌دست آمده از رد پاهای دیجیتال، محمدحسین کربلائی صادق با نام اختصاری امید (Omid و Omidmhks)، علی معتمدی و میلاد فرجی از منتشرکنندگان اصلی این بدافزارها هستند که در این گزارش به کارکرد برخی از فایل‌های منتشر شده توسط این افراد اشاره می‌شود.

 

نکته قابل توجه در مورد PushIran.DL این است که سازندگان آن، اپ‌های آلوده‌ را با اسامی اختصاری مالکان (افراد شاغل در شرکت پویا ارتباطات رامان) و مشتریان این شرکت و سایر همکاران، ایجاد و منتشر کرده‌اند. لیست نام‌های مرتبط با شرکت رامان که ما به آن‌ دست یافته‌ایم عبارتند از:

پس از بررسی فایل‌های آلوده و اسامی به‌دست آمده، ما موفق به شناسایی تعدادی از سازندگان این بدافزارها در فروشگاه‌های برنامه‌های موبایلی شدیم که به‌عنوان توسعه‌دهنده اپلیکیشن‌های اندرویدی شناخته می‌شوند.

 

به عنوان مثال فتح‌الله محمدی، محمد حسین کربلایی صادق (دیما)، فرزاد سیدی (تیم برآیش)، علی معتمدی (توسعه پایدار) تعدادی از توسعه‌دهندگان مرتبط با PushIran.DL هستند که اپلیکیشن‌های جعلی و آلوده شناسایی شده را به‌صورت رسمی در کافه بازار و سایر فروشگاه‌های اندروید ایرانی منتشر کرده‌اند.

توسعه‌دهنده‌ای با عنوان آریا توسعه (Aria Tosewe) نیز که پیش از این از نام علی معتمدی (Ali Motamedi) استفاده کرده است، از جمله افرادی است که اپلیکیشن‌های آلوده او در فروشگاه‌ برنامه‌های گوگل پلی منتشر شده و بعضی از کاربران در بخش نظرات این فروشگاه، نسبت به تبلیغات مزاحم در این اپ‌ها، دانلود سایر اپلیکیشن‌ها و هدایت کاربران به وب‌سایت‌های مختلف شکایت کرده‌اند.

 

بررسی  PushIran.DL

تا مرداد ۱۳۹۷ ما موفق به جمع‌آوری 220 نمونه از فایل های اندرویدی آلوده شده به این بدافزار شدیم که به‌صورت کلی شباهت‌های زیادی بین آن‌ها وجود دارد. هر چند معتقد هستیم که اپلیکیشن‌های آلوده به این خانواده بدافزاری بیشتر از تعدادی است که ما توانسته‌ایم به آن‌ها دست پیدا کنیم؛ اما با توجه به سازوکار فعالیت اپ‌های آلوده، می‌توان گفت که اصلی‌ترین فایل‌های منتشر شده توسط مهاجمان شناسایی شده‌اند.

نام اپ‌های مخرب و مشکوک
 
عنوان‌های اصلی فایل‌های منتشر شده به شرح زیر دسته‌بندی می‌شوند:
 
 
خدمات ارزش افزوده:
 
طبق بررسی‌های انجام شده، برخی از اپلیکیشن‌های آلوده به PushIran.DL با فعال‌سازی طرح‌های ارزش افزوده مخابراتی (Value-Added Service یا VAS)، هزینه‌های مختلفی را به کاربران تحمیل می‌کنند.
سازندگان و منتشرکنندگان این بدافزارها، پس از انجام توافق با مشتریان خود (شرکت‌ها و ارائه‌دهندگان سرویس‌های ارزش افزوده مخابراتی)، فعال‌سازی پیامکی سرویس‌های VAS را به عنوان یکی از قابلیت‌های تجاری، به اپ‌های آلوده خود اضافه می‌کنند. طی این توافق، مهاجمان مبالغی را بابت کارمزد و سود از مشتریان خود دریافت می‌کنند.
براساس مشاهدات ما، این مساله به دو صورت اجباری (بدون اطلاع کاربر و در پشت‌پرده کارکرد بدافزارها) و اختیاری (طرح‌های فریبنده تبلیغاتی و جعلی) انجام می‌شوند که به‌طور متوسط، روزانه هزینه‌ای بین ۲۰۰ تا ۴۰۰ تومان از اعتبار (شارژ) کاربر قربانی کم می‌کند یا به صورتحساب دوره‌ای وی اضافه می‌شود.
تنها بر پایه اطلاعات جمع‌آوری شده از یکی از سرورهای سازندگان این بدافزارها، روزانه حدود ۱۱۸ میلیون تومان درآمد حاصل VAS از طریق ۱۰ اپلیکیشن آلوده، نصیب شرکت‌های طرف توافق مخابراتی می‌شود. لیست ۱۰ اپلیکیشن آلوده به PushIran.DL با تعداد نصب و متوسط درآمد روزانه در جدول  آمده است.
 
نکته مهم درباره خدمات ارزش افزوده و درآمد حاصل از آن ـ مانند مبالغ اشاره شده در جدول این است که بخش اعظم سود VAS به شرکت‌های انحصاری طرف قرارداد اپراتورهای مخابراتی تعلق می‌گیرد و تنها بخش اندکی از آن به سازندگان این بدافزارها پرداخته می‌شود. موضوعی که تا حدودی موجب نارضایتی سازندگان این بدافزارها شده است.
برای مثال در تصویر زیر می‌توانید بخشی از گفت‌وگوها و بحث برخی از سازندگان این بدافزارها درباره درآمد کم حاصل از همکاری با شرکت‌های خدمات ارزش افزوده را مشاهده کنید که مشخصا این افراد به اعمال مجرمانه خود نیز واقف هستند.
 
دامنه فعالیت سازندگان  PushIran.DL
 
به‌طور کلی می‌توان گفت دامنه فعالیت سازندگان بدافزارهای PushIran.DL گسترده است. برای مثال برخی از فعالیت‌های کنونی سازندگان این بدافزارها به شرح زیر است:
  • نصب تضمینی اپلیکیشن‌های اندرویدی (دانلود پنهانی و نمایش صفحه نصب اپ‌های جدید به‌صورت اجباری)
  • ارسال نوتیفیکیشن براساس اپراتور مخابراتی، موقعیت مکانی، گروه سنی، جنسیت و مدل دستگاه کاربر
  • افزایش بازدید پست‌های تلگرامی و اینستاگرامی
  • نمایش پاپ‌آپ‌های تبلیغاتی
  • کلیک دزدی برای بالا بردن میزان بازدید وب‌سایت‌های مختلف
  • هدایت کاربر به صفحات و وب‌سایت‌های مختلف، مانند وب‌سایت‌های خدمات ارزش افزوده

 
 
تصویر زیر برخی از پیام‌های تبلیغاتی منتشرکنندگان PushIran.DL برای بازاریابی را نشان می‌دهد که در این پیام‌ها به میزان کاربران تحت پوشش (حدود ۱.۵ تا ۱۲ میلیون کاربر) و قابلیت‌هایی که این بدافزارها برای سازندگان آن فراهم می‌کند، اشاره شده است.
 
 
خرید و فروش اپ و اطلاعات کاربران
 
یکی از نکات قابل توجه درباره وجه اشتراک اغلب منتشرکنندگان بدافزارهای مرتبط با PushIran.DL، انتشار اپلیکیشن‌هایی با عنوان‌های «کیبورد فارسی»، «آنتی‌ویروس»، «بهینه‌ساز سرعت موبایل و باتری»، «فال و طالع‌بینی»، «هواشناسی»، «دعاهای مذهبی»، «تقویم شمسی» و... است که دلیل این مساله را می‌توان استفاده از سورس کدهای یکسان و در دسترس ـ سورس کدهای فروشی اپ‌ها در برخی از وب‌سایت‌ها و کانال‌های تلگرامی ـ عنوان کرد.
علاوه بر این، این افراد به همراه شرکت‌ها و گروه‌های اشاره شده در این گزارش، بستری را برای فروش پنل‌های مدیریتی ارسال نوتیفیکیشن (Push Notification) و واگذاری امتیاز اپلیکیشن‌های موجود در فروشگاه‌های برنامه‌های موبایلی فراهم کرده‌اند. اتفاقی که می‌توان آن را به یک بازار سیاه فروش اپ‌های موبایل تشبیه کرد.
در این میان، موضوع قابل تامل و نگران‌کننده، سرنوشت کاربران اپلیکیشن‌های موجود در فروشگاه‌های برنامه‌های موبایل است که بدون اطلاع آن‌ها، مدیریت و مسئولیت اپلیکیشن‌های مورد استفاده‌‌شان واگذار می‌شوند. به عبارتی سیستم مدیریتی و تبلیغاتی برنامه‌های مورد استفاده کاربران، بدون در نظر گرفتن شرایط مرتبط با حریم خصوصی و قوانین فروشگاه‌های برنامه‌ها، در پشت پرده فروخته می‌شوند.
 
برای مثال، در پیام‌های کانال‌های تلگرامی متعلق به مدیران شرکت پویا ارتباطات رامان با مواردی متعدد مانند این نمونه برخورد کردیم:
 
«امتیاز کامل یک اپلیکیشن برگزیده در کافه بازار به همراه دسترسی‌ پنل مدیریتی وان سیگنال به همراه اطلاعات ۱۹٬۷۰۰ کاربر (نصب فعال) به قیمت ۲۰ میلیون تومان فروخته می‌شود.»
 
در تصویر زیر به تعدادی از پیام‌های فروشندگان سورس‌های این برنامه‌ها اشاره شده است.
 
 
بررسی خانواده بدافزارهایPushIran.DL
 
۱) دانلودرهای PushIran.DL
بررسی‌های فنی روی نمونه بدافزارهای PushIran.DL نشان می‌دهد که فایل‌های دانلودر پس از آلوده‌سازی دستگاه‌های اندرویدی، با سرورهای فرمان و کنترل مهاجمان ارتباط برقرار می‌کنند. این ارتباط به‌منظور ثبت اطلاعات اولیه دستگاه‌ها (مانند مدل دستگاه، نوع اپراتور مخابراتی، موقعیت مکانی و...) است.
پس از آن، مهاجمان از طریق ارسال فرمان‌های مختلف از طریق پوش نوتیفیکیشن‌ها (مانند پیام‌های تبلیغاتی، لینک دانلود اپلیکیشن‌های مختلف، هدایت کاربر به وب‌سایت‌های مختلف)، این بدافزارها را از راه دور کنترل می‌کنند.
برخی از این دانلودرها به‌صورت پیش‌فرض و بلافاصله پس از اجرای اولیه، فایل‌های APK مشکوک جدید را از اینترنت دریافت می‌کنند. این مساله از طریق فراخوان لینک فایل که در کدهای دانلودر از پیش تعبیه شده است، صورت می‌گیرد.
مهاجمان برای توزیع اپلیکیشن‌های APK مشکوک (فایل‌هایی که ممکن است بدافزارهایی مخرب‌تر باشند) از دو شیوه کلی پیروی می‌کنند:
سرورهای خصوصی: استفاده از سرورهای خصوصی، امکان جایگزین کردن برنامه‌های کاربردی سالم با فایل‌های آلوده را به راحتی برای مهاجمان فراهم می‌کند. برای مثال از سرور dl2.learnasan.ir برای این موضوع استفاده شده است.
 
سرویس‌های اشتراک‌گذاری فایل: در برخی موارد مهاجمان برای مخفی نگه داشتن ردپاهای خود و تسریع در پخش فایل و ارائه میزان دقیق دانلود فایل به سفارش‌دهندگان تبلیغات، از سرویس‌های عمومی اشتراک‌گذاری فایل استفاده می‌کنند. برای مثال می‌توان به سرویس uupload.ir اشاره کرد که در ابتدای سال ۱۳۹۷ از طریق آن فایل‌های آلوده بسیار زیادی به اشتراک گذاشته شده است.
 
 
تصویر زیر به‌صورت خلاصه سازوکار این نوع از دانلودرها را نشان می‌دهد. برای مثال براساس کارکرد فایل‌های دانلودر ir.pushiran.hamrahdownloader5 و com.newdownloader.antivirus_mohammad:
 
۲) دانلودرهای فروشگاهی PushIran.DL
ما در بررسی‌ فایل‌های آلوده PushIran.DL، با دانلودرهایی مواجه شدیم که هدف اصلی از انتشار آن‌ها، بالا بردن میزان تعداد کاربران استفاده‌کننده از اپ‌های منتشر شده در فروشگاه‌های برنامه‌های اندرویدی بوده است.
از آنجا که برخی از فروشگاه‌های برنامه‌های اندرویدی ـ مانند کافه بازار ـ میزان آمار نمایش داده شده برای «تعداد نصب برنامه» را براساس شمارش تعداد برنامه‌های نصب شده روی دستگاه‌های کاربران محاسبه می‌کنند، سازندگان این بدافزارها از این مساله برای بالا بردن تعداد کاربران خود سوءاستفاده می‌کنند.
همچنین این دانلودرها، مانند تمام فایل‌های آلوده به PushIran.DL، اطلاعات دستگاه‌های اندرویدی کاربران را در سرویس‌های ارسال نوتیفیکیشن ثبت می‌کنند.
تصویر زیر به‌صورت خلاصه سازوکار این نوع از دانلودرها را نشان می‌دهد. به عنوان مثال براساس کارکرد فایل‌های دانلودر ir.gotoup.flashlight و com.newdownloader.ax_naghashi_zz_homayoun:
 
 
۳) متادانلودرهای PushIran.DL
نوع دیگر از فایل‌های آلوده PushIran.DL، دانلودرهایی هستند که پس از آلوده‌سازی دستگاه‌های کاربران، یک دانلودر جدید را دریافت می‌کنند. این دانلودرها امکان نصب بدافزارهای متفاوت و جدیدتر را برای مهاجمان فراهم می‌سازند.
این موضوع شاید در نگاه نخست مقداری عجیب به‌نظر برسد، اما پس از بررسی‌های مختلف می‌توان گفت که در حال حاضر هدف اصلی از انتشار این نوع از فایل‌ها، صرفا ایجاد پایگاه‌های کاربری در سرویس‌های پوش نوتیفیکیشن است که مشخصا مهاجمان از آن برای ارسال تبلیغات استفاده می‌کنند.
تصویر زیر به‌صورت خلاصه سازوکار این نوع از دانلودرها را نشان می‌دهد. به عنوان مثال براساس کارکرد فایل‌های متادانلودر com.blod.taghziye و com.bestmaker.antipackage:
 
 
۴) نوتیفیکیشن‌های غیرمرتبط
از دیگر موارد قابل توجه در مورد بدافزارهای PushIran.DL، نوتیفیکیشن‌هایی است که هیچ ارتباطی با کارکرد اپ‌‌ها و دسته‌بندی موضوعی آن‌ها ندارند. برای مثال در تصویر زیر به چند نمونه از این نوع نوتیفیکیشن‌ها اشاره شده است.
 
مورد ۱: یک اپلیکیشن جعلی با آیکون برنامه سایفون و نام «فیلترشکن»، نوتیفیکیشنی با عنوان «به‌روزرسانی ماشین حساب» را به کاربر ارسال کرده که در آن به «دانلود رایگان یک اپلیکیشن ماشین حساب» اشاره شده است.
مورد ۲ و ۳: دو اپلیکیشن XoXo Girl Game و Hot Cartoon، مشابه اپلیکیشن جعلی سایفون، تبلیغی مشابه را برای کاربر ارسال کرده‌اند.
مورد ۴: اپلیکیشن جعلی «مجموعه +18»، نوتیفیکیشنی با عنوان «دلت هوای کربلا کرده؟» را برای کاربر ارسال کرده که در آن به دانلود و نصب اپلیکیشن «زیارت عاشورای صوتی ویژه ماه رمضان» اشاره شده است.
۵) نوتیفیکیشن‌های دیالوگی
یکی دیگر از انواع نوتیفیکیشن‌های مزاحم نمایش داده شده توسط اپلیکیشن‌های آلوده به PushIran.DL، پاپ‌آپ‌هایی هستند که اطلاعات مربوط به آن‌ها از طریق سرویس‌های پوش نوتیفیکیشن به دستگاه‌های آلوده ارسال می‌شوند. پاپ‌آ‌پ‌ها به‌عنوان دیالوگ‌های تبلیغاتی در صفحه اصلی دستگاه کاربر ظاهر می‌شوند، بدون اینکه کاربر از منبع نمایش آن مطلع شود. تصویر زیر، دو نمونه از این تبلیغات را نشان می‌دهد.
 
 
۶) بمباران نوتیفیکیشنی
در صورتی که دستگاه کاربر به یکی از دانلودرهای PushIran.DL آلوده شود، به مرور زمان برنامه‌های آلوده جدیدتر به او پیشنهاد داده می‌شوند که پس از نصب این برنامه‌ها، عملا کاربر در ساعاتی از روز با بمباران نوتیفیکیشنی مواجه می‌شود؛ نوتیفیکیشن‌های تبلیغاتی تکراری که توسط اپلیکیشن‌های آلوده به‌صورت مشترک نمایش داده می‌شوند. تصویر زیر ، بخشی از این نوتیفیکیشن‌ها را نشان می‌دهد.
 
۷) نوتیفیکیشن‌های فیشینگ
در بررسی‌های دو ماهه روی بدافزارهای PushIran.DL، ما هیچ مورد مشخصی به عنوان فیشینگ حساب‌های کاربری در شبکه‌های اجتماعی و... مشاهده نکردیم، اما معتقدیم این کار برای منتشرکنندگان این بدافزارها امکان‌پذیر است.
آنچه تا به‌ امروز ثابت شده آن است که مهاجمان از آیکون‌های برنامه‌های شناخته شده و معروف برای فریب کاربران سوءاستفاده می‌کنند و با تکیه به همین ترفند، به راحتی می‌توانند با ارسال پیام‌های جعلی، کاربران را به صفحات فیشینگ مختلف هدایت کنند. برای مثال تصویر زیر ، سوءاستفاده آشکار سازندگان بدافزارهای PushIran.DL از آیکون اپلیکیشن جیمیل در نوتیفیکیشن ارسالی را نشان می‌دهد.
 
شیوع سرویس‌های پوش نوتیفیکیشن
در حال حاضر یکی از اصلی‌ترین راه‌های ارتباطی اکثر توسعه‌دهندگان اپ‌های موبایلی با کاربران از طریق پوش نوتیفیکیشن و سرویس‌های ارائه‌دهنده خدمات آن است؛ اما از آنجایی که هیچ کنترل و نظارت دقیقی درباره نحوه استفاده از پوش نوتیفیکیشن از سوی ارائه‌دهندگان این سرویس‌ها وجود ندارد، سرویس‌های پوش نوتیفیکیشن را می‌توان یکی از مشکلات جدید و جدی کاربران تلفن همراه در ایران دانست. این نکته را هم باید بیان کرد که در حال حاضر مهاجمان با تکیه بر این سرویس‌ها ـ که به عنوان یک راه کنترل از راه دور بدافزارهاست ـ از آنها سوءاستفاده می‌کنند.
سرویس‌هایی مانند MagnetAdServices.com، Adad.ir، OneSignal.com، Pushe.ir و... در حال حاضر از جمله مواردی محسوب می‌شوند که در بین توسعه‌دهندگان ایرانی بیشترین میزان کاربر را به خود اختصاص داده‌اند.
براساس اطلاعات منتشر شده توسط وب‌سایت «رتبه‌نگار»، سرویس‌ پوش نوتیفیکیشن pushe.ir ششمین وب‌سایت پربازدید براساس ترافیک شبکه اینترنت در ایران است. وب‌سایتی که در ماه‌های اخیر سرویس‌های آنتی‌ویروس نسبت به انتشار بدافزار و تبلیغات مزاحم توسط آن حساس‌‌تر شده‌اند و در صورتی که این روند ادامه پیدا کند، می‌توان انتظار داشت که pushe.ir به عنوان یک ابزار و سرویس مخرب ایرانی، در لیست سیاه تمام آنتی‌ویروس‌ها و نرم‌افزارهای امنیتی قرار بگیرد.
 
شبکه ارتباطات PushIran.DL
برای تکمیل اطلاعات مرتبط با منتشرکنندگان بدافزارهای خانواده PushIran.DL و شناخت کامل ساختار این بات‌نت تبلیغاتی، جزئیات ارتباطات و سوابق فعالیت‌های تعدادی از بدافزارها مورد بررسی قرار گرفتند. نتایج این بررسی نشان می‌دهد که شرکت‌ها و افراد منتشرکننده این بدافزارها، از نظر فنی و زیرساختی در بستر شبکه، با یکدیگر در ارتباط و تعامل هستند و در تسریع توزیع و گسترش این بات‌نت نقش دارند.
استفاده مشترک از سرورهای خصوصی اشتراک‌گذاری فایل به‌عنوان محل ذخیره‌سازی و انتشار فایل‌های آلوده، واگذاری سرورهای مورد استفاده به افراد مرتبط با بدافزارهای PushIran.DL، محافظت از مشخصات ثبت کننده دامین‌ها برای مخفی نگه داشتن هویت دارندگان دامین‌ها، الگوی یکسان در ساختار کدهای مورد استفاده در بدافزارها و استفاده از سرویس‌های ارسال نوتیفیکیشن از جمله موارد قابل توجهی هستند که در بررسی سوابق این بدافزارها به چشم می‌خورد و با کنار هم قرار دادن این اطلاعات، می‌توان به ارتباطات این بات‌نت تبلیغاتی پی‌ برد.
همچنین براساس مستندات به‌دست آمده از ارتباطات سرورها و تحلیل بدافزارهای منتشر شده، سازندگان این بدافزارها در یک دوره محدود به‌طور مستقیم با سرورهای شرکت پیک‌آسا (ارائه‌دهنده خدمات پیامک و ارزش افزوده) ارتباط داشته‌اند که در حال حاضر این ارتباط متوقف شده است.
به عنوان مثال بدافزارهایی مانند ir.pushiran.hamrahdownloader5 و ir.vira_tel.dawnloader61 که توسط دو توسعه‌دهنده متفاوت ایجاد شده‌اند، به‌صورت مشترک در یک دوره زمانی مشخص از دامنه‌های tci-test.peykasa.ir و tci-srv.peykasa.ir ـ که هر دو متعلق به وب‌سایت peykasa.ir هستند ـ برای ثبت اطلاعات مرتبط با خدمات ارزش افزوده مخابراتی مشترکان همراه اول، استفاده می‌کردند.
 
تصویر زیر، بخشی از ارتباطات کلی این بدافزارها در بستر شبکه را نشان می‌دهد.
 
نتیجه‌گیری
هر چند که بات‌نت PushIran.DL دارای ساختار پیچیده‌ای نیست، اما آن را می‌توان بدافزار خطرناکی دانست که تاکنون به کاربران تلفن‌های همراه در ایران میلیاردها تومان ضرر مالی وارد کرده است. علاوه بر این، PushIran.DL این اجازه را به خرابکاران سایبری می‌دهد به تمامی اطلاعات قربانی دسترسی داشته باشند.
از همین رو، ما پیشنهادهایی به شرکت‌های فعال در زمینه تکنولوژی، سیاست‌گذاران، افراد فعال در سازمان‌های مدنی و کاربران اینترنت داریم تا خطر خانواده بدافزاری PushIran.DL را به میزان چشم‌گیری کاهش دهند.
 
پیشنهادات ما به شرکت‌های فعال در زمینه تکنولوژی و سیاست‌گذاران آن است که:
روی فروشگاه‌های اپلیکیشن‌های اندرویدی مانند کافه بازار و گوگل پلی فشار بیاورند تا این اپلیکیشن‌های مخرب را هر چه زودتر حذف کنند. با توجه به عدم پاسخگویی و واکنش کند و دیر این فروشگاه‌ها، یک اقدام هماهنگ در این زمینه لازم است.
اطمینان حاصل کردن از به‌روز شدن تمامی آنتی‌ویروس‌های موجود در بازار برای شناسایی PushIran.DL و بدافزارهای مشابه. هم‌اکنون تنها چند نرم‌افزار آنتی‌ویروس مانند کسپرسکی و آویرا خانواده بدافزاری PushIran.DL را شناسایی می‌کنند.
 
پیشنهادات ما به کاربران اینترنت و تلفن همراه این است که:
 
  • هیچ اپلیکیشن موبایلی را از فروشگاه‌های غیرمعتبر دانلود نکنند. کاربران باید قبل از دانلود و نصب یک اپلیکیشن، حتما بخش نظرات و توضیحات اپلیکیشن مورد نظرشان را بخوانند.
  • از نصب یک آنتی‌ویروس روی تلفن همراه‌شان اطمینان حاصل کنند و آن را همواره به‌روز نگه دارند.
  • تمام نوتیفیکیشن‌هایی را که دریافت می‌کنند بررسی و از درست بودن آنها اطمینان حاصل کنند. کاربران باید از توجه و واکنش به نوتیفیکیشن‌های غیرعادی و مشکوک خودداری کنند.
 
 
 
منابع : مرکز ماهر ، سرتفا
 

ارسال نظر

نام
ایمیل (منتشر نمی‌شود) (لازم)
وبسایت
:) :( ;) :D ;)) :X :? :P :* =(( :O @};- :B /:) :S
نظر خصوصی
مشخصات شما ذخیره شود ؟ [حذف مشخصات] [شکلک ها]
کد امنیتیرفرش کد امنیتی