بررسی بدافزار هواشناسی پیشرفته و ۷ برنامه‌ با رفتار مشابه

یک‌شنبه ۲۹ اردیبهشت ۱۳۹۸
در این گزارش به بررسی بدافزار "هواشناسی پیشرفته" و ۷ برنامه‌ مشابه آن، که در فروشگاه‌های اندرویدی وجود دارند و حداقل ۴۰ هزار قربانی داشته، پرداخته شده است.
مرکز آپا شریف
SUT-APA-LOGO
چکیده:
در این گزارش به بررسی بدافزار "هواشناسی پیشرفته" و ۷ برنامه‌ مشابه آن، که در فروشگاه‌های اندرویدی وجود دارند و حداقل ۴۰ هزار قربانی داشته، پرداخته شده است. پس از نصب هر یک از این برنامه‌ها در دستگاه اندرویدی، بدافزار بدون اطلاع کاربر اقدام به دانلود برنامه‌های اندرویدی دیگری کرده و سپس صفحه نصب برنامه دانلود شده را به کاربر نمایش می‌دهد. بدافزار روزانه چندین برنامه مختلف را دانلود می‌کند که این برنامه‌های ثانویه شامل برنامه‌هایی که برای استفاده از آن‌ها باید عضو سرویس ارزش‌افزوده شد و برنامه‌هایی که توسعه‌دهندگان دیگر سفارش نصب آن‌ها را به این توسعه‌دهنده (به عنوان واسط تبلیغاتی) داده‌اند، هستند. لازم به ذکر است که در این برنامه‌ها از سرویس‌های ارسال هشدار پوشه، onesignal و firebase برای اقداماتی مانند ارسال هشدارهای مختلف به‌منظور باز کردن لینک (اغلب تبلیغات سرویس‌های ارزش‌افزوده) و عضویت در کانال‌های تلگرامی و ... استفاده شده است. برخی از این بدافزارها در حال حاضر از فروشگاه‌های اندرویدی حذف شده‌اند.

اطلاعات برنامه‌ها

عنوان نام بسته SHA-256
هواشناسی پیشرفته com.sm.weather cf825f78580865127dd45897235fa75c d1ca07b57216faffe1de2b8f1aed5a0d
استخاره با قرآن com.sm.estekhare98 8b5b8e41573492aadd3d4b8d604d0fc6 668fe6f37f8bf0e02e51e8c9c6fdce2d
تعبیر خواب com.tabireKhaab. apa.sm_new98 412392856c5e8e96eb08520e987159c2 b58ccf47bf220e0b92728b12488a0535
تقویم ۹۷ com.sm.taghvim 23a38412fbafcdb1ca34d379fd556d6a 2b2bbf0f227241b4b1e2eef25e8f8b0c
فال حافظ com.sm.hafez98 412392856c5e8e96eb08520e987159c2 b58ccf47bf220e0b92728b12488a0535
قرآن و مفاتیح com.sm.quran c884707e66479ff424dfb5f429b92e8b 64298ab6e24f0b010473b7a834b0807d
تبدیل واحد com.sm.unit eb73376bea0dcf2bcd00a55973567ec2 8314de71bf2af4001882545fba257301
ضبط صفحه نمایش com.sm.screen recorder 3fc5ccad74d00cd09a32d749c35619f7 b5a8692857de3dddda27725fa146735f


عملکرد برنامه‌ها
پس از نصب برنامه "هواشناسی پیشرفته" یا هرکدام از برنامه‌های مشابه در دستگاه اندرویدی، برنامه در ابتدا رفتاری عادی داشته و عملکرد مشکوکی به چشم نمی‌خورد. اما مدتی پس از نصب، با استفاده از سرویس‌های ارسال هشدار، دستور دانلود برنامه دیگری ارسال می‌شود. در این حالت بدون آنکه کاربر متوجه شود برنامه در پس‌زمینه دانلود شده و درخواست نصب آن به کاربر نشان داده می‌شود. در شکل زیر صفحه‌ی درخواست نصب چند نمونه از برنامه‌های دانلود شده که پس از نصب این برنامه‌ها به کاربر نمایش داده می‌شوند، نشان داده شده است.
طبق بررسی ترافیک برنامه مشاهده شد که این برنامه‌ها از لینکی با آدرس uupload.ir دانلود می‌شوند که برای نمونه لینک دریافت برنامه‌ی سرعت‌سنج هوشمند، http://uupload.ir/filelink/cta74ASoxtYw/px7s_%D8%B3%D8%B1%D8%B9%D8%AA.apk است.
برنامه‌هایی مانند "هواشناسی پیشرفته" و پنل ارسال هشدار آن‌ها عموما به عنوان وسیله‌ای برای تبلیغات استفاده می‌شوند. توسعه‌دهندگان این برنامه‌ها از طرق مختلفی سفارش تبلیغات گرفته و با عناوینی مانند "نصب تضمینی" و "عضوگیری تضمینی" از دیگر توسعه‌دهندگان و سرویس‌های ارزش‌افزوده سفارش می‌گیرند. ازاین‌رو این بدافزار روزانه چندین برنامه مختلف را دانلود می‌کند که شامل موارد زیر است:
  1. برنامه‌هایی که برای استفاده از آن‌ها باید عضو سرویس ارزش‌افزوده شد.
  2. برنامه‌هایی که توسعه‌دهندگان دیگر سفارش نصب آن‌ها را به این توسعه‌دهنده (به عنوان واسط تبلیغاتی) می‌دهند.
این برنامه‌ها نیز اغلب علاوه بر رفتار خود، هشدارهای زیادی ارسال کرده و از این راه کسب درآمد می‌کنند. نمونه‌ای از این برنامه‌ها و تبلیغات نشان داده شده توسط آن‌ها، در شکل زیر نمایش داده‌ شده است.
باتوجه به کدهای بررسی‌شده، مشاهده می‌شود که این برنامه از سرویس‌های ارسال هشدار پوشه، onesignal و firebase استفاده می‌کند. از مهم‌ترین اقداماتی که برنامه از سرویس ارسال هشدار پوشه استفاده می‌کند می‌توان به موارد زیر اشاره کرد:
  • باز کردن دیالوگ
  • ارسال نوتیفیکیشن
  • دانلود و نصب یک برنامه روی گوشی کاربر
  • باز کردن یک لینک در تلگرام (برای این‌کار چک می‌کند در گوشی کاربر کدام یک از برنامه‌های شبیه تلگرام وجود دارد)

برنامه از سرویس ارسال هشدار firebase نیز برای اقدامات زیر استفاده می‌کند:
  • باز کردن دیالوگ
  • ارسال نوتیفیکیشن
  • دانلود و نصب یک برنامه روی گوشی کاربر
  • باز کردن یک لینک در تلگرام (برای این‌کار چک می‌کند در گوشی کاربر کدام یک از برنامه‌های شبیه تلگرام وجود دارد)
  • باز کردن لینک یک برنامه در بازار

نتیجه‌گیری
در این گزارش، برنامه‌ی هواشناسی پیشرفته و ۷ برنامه‌ی مشابه ‌که حداقل ۴۰ هزار قربانی داشته است، بررسی شدند. در تمامی این برنامه‌ها، از پکیجی استفاده‌شده است که با اجرای کلاس‌های آن، برنامه مرتباً شروع به دانلود برنامه‌های مختلف از لینک uupload.ir کرده و سپس پنجره‌ی درخواست نصب برنامه را به کاربر نمایش می‌دهند. همچنین در این برنامه‌ها از سرویس‌های ارسال هشدار پوشه، onesignal و firebase برای اقداماتی مانند باز کردن لینک در تلگرام و بازار استفاده شده است.