روش کار تروجان اندرویدی Mapin و عبور آن از Bouncer گوگل

روش کار تروجان اندرویدی :

شرکت ESET اخیراً یک حمله تروجان را به سمت کاربران اندرویدی کشف کرده است. این حمله از یک اپ قلابی که خود را به‌عنوان یک بازی با اسم معمولی عنوان می‌کند انجام می‌گیرد. مورد جالب این است که این اپ با برنامه‌ای دیگر به اسم systemdata یا resource همراه است و این مورد مشکوک است. برنامه‌های معمولی دانلود شده از بازار اپ رسمی گوگل نباید برنامه همراهی داشته باشند.

اسم این برنامه اضافه (systemdata یا resource ) که یک اپ سیستمی است با اصول دیگر اپ ها مطابقت ندارد.

این بسته نرم‌افزاری بدون ارسال هشدار وارد.وسیله موبایلی می‌شود ولی از کاربر درخواست نصب شدن می‌کند. اپ سپس به‌عنوان یک اپ Manage Settings نصب.می‌شود و به‌عنوان یکی از خدمات در background اجرا می‌شود.

ضدویروس ESET بازی‌هایی که این تروجان (بانام  را نصب می‌کنند و خود تروجان را بانام Android/Mapin شناسایی می‌کند. بر اساس آمار بیشترین.نقض‌ها ( در هند انجام‌گرفته است.

این تروجان.درب پشتی موبایل شمارا به کنترل خود درآورده و آنرا بخشی از یک botnet تحت کنترل هکر می‌کند. این تروجان تایمرهایی را فعال می‌کند که اجرا بارگذاری‌های مخرب را به تأخیر می‌اندازد، تا به‌سختی.مشخص شود که “بازی دارای تروجان” مسئول رفتارهای مشکوک در موبایل است.

در برخی از نوع‌های این آلودگی، حداقل سه روز زمان.می‌برد تا تروجان به ظرفیت کامل و.عملکرد کامل خود برسد.

این تأخیر به دانلودر تروجان اجازه.می‌دهد که از سیستم محافظت و شناسایی بدافزاری گوگل به نام Bouncer عبور کند.

پس از آن این تروجان درخواست اجازه‌های مدیریتی (Administrator Rights) از دستگاه می‌کند و با سرور C&C.راه دور خود تماس برقرار می‌کند. Android/Mapin دارای عملکردهای چندگانه مانند push.کردن هشدارهای متفاوت، دانلود کردن، اجرا برنامه‌ها و دریافت اطلاعات خصوصی کاربران می‌باشد. ظاهراً هدف اصلی آن نشان دادن تبلیغات fullscreen بر روی دستگاه.آلوده‌شده می‌باشد.

بردارهای توضیح بدافزار شرکت Google Play & Co می‌باشد. این تروجان اندرویدی در بازار اپ رسمی گوگل در پایان.سال 2013 و 2014 در درون بازی‌های مختلف (Hill climb racing the game ، Plants vs zombies.2 ، Subway suffers ، Traffic Racer ، Temple Run 2 Zombies ، Super Hero Adventure) برای دانلود موجود بود. این بدافزار در.تاریخ‌های 24 الی 30 نوامبر 2013 و 22 نوامبر 2014 به Google Play آپلود شد.

بر اساس آمار ارائه‌شده از MIXRANK، بازی Plants vs zombies 2 “قبل از بلوکه شدن” بیش از 10000 دانلود داشته است. در همین.تاریخ‌ها برنامه System optimizer و بازی‌های Zombie Tsunami،.tom cat talk، Super Hero adventure، Classic brick game و موارد بالا به همین تروجان مجهز شده و بازارهای.اندرویدی دیگر آپلود شدند.

این درب پشتی نیز در برنامه‌های PRStudio (توسعه‌دهنده اپ) در بازارهای اندرویدی دیگر یافت شد.که مرجع این برنامه‌ها “بازار اپ رسمی گوگل” اعلام گردید. این توسعه‌دهنده حداقل 5 برنامه دارای تروجان (Candy crush یا.Jewel crush، Racing rivals، Super maria journey، Zombie highway killer، Plants vs Zombies) به بازارهای اندرویدی شخص ثالث آپلود نموده است. تمامی این بازی‌های.آلوده هنوز در این بازارها برای دانلود موجود هستند. تاکنون این برنامه‌های آلوده هزاران.بار دانلود شده‌اند.

این تروجان به‌هیچ‌وجه مرتبط با بازی‌های رسمی ساخته‌شده توسط King یا دیگر توسعه‌دهندگان موجه نمی‌باشد و فقط از اسامی.آنان برای پخش تروجان استفاده‌شده است.

آلودگی: از قربانیان درخواست می‌شود که 24 ساعت بعد.از اجرا بازی بدافزار را نصب کنند. تروجان برای اجرا خود از چند روش استفاده می‌کند. تروجان وارد سیستم می‌شود و 24 ساعت بعد از اجرا.نرم‌افزار اصلی از قربانی درخواست می‌شود که آنرا نصب کند.

این روش کمترین شک را در کاربر برمی‌انگیزد و کاربر فکر می‌کند که درخواست نصب از OS” سیستم” است.

برخی از نسخه‌های تروجان نصب.را فوراً انجام می‌دهند. تمامی نسخه‌ها پس از تغییر اتصال (زمانی که یک هشدار پخش در لاگ ثبت می‌شود یا.registered broadcast receiver) فعال می‌شوند.

در زمان تغییر اتصال، پیام نصب “System Application”.به کاربر ارسال می‌شود. بدافزار وانمود می‌کند که Google Play یا Manage Settings است.

firewall

اگر کاربر بخواهد که نصب را کنسل کند، به او دوباره هشدار نصب.داده می‌شود و این هشدار با هر تغییر اتصال ارسال می‌گردد. کاربران معمولی قانع می‌شوند که این‌یک نصب مهم است و در مقطعی برای.خاتمه دادن به هشدار آنرا نصب می‌کنند. سپس تروجان به‌عنوان.یک خدمات شروع به کار.می‌کند، دارای یک هشدار پخش ثبت در لاگ (registered broadcast receiver).می‌باشد و منتظر یک تغییر اتصال دیگر است.

در زمان اتصال.بدافزار خود را در سرورهای پیام کلاود گوگل (GCM) ثبت می‌کند و سپس پیام دریافت می‌کند. پس از ثبت در GCM بدافزار Android/Mapin دستگاه آلوده را.در سرور خود (با استفاده از اسم، حساب گوگل، و شناسه ثبت‌شده و اسم package خود) ثبت می‌کند.

برای اینکه بدافزار uninstall نشود درخواست می‌کند که کاربر Device Administrator را فعال نماید.

تروجان “سرور راه دور” را از فعال شدن با موفقیت Admin دستگاه آگاه می‌کند و.سپس کاربر یک تبلیغ pop-up (full screen) را خواهد دید. این تبلیغ interstitial هر بار که اتصال تغییر کند.دیده می‌شود. این تبلیغات با استفاده غیرقانونی از Admob SDK ارسال می‌شوند.

ارتباط از طریق GCM
این تروجان با استفاده از سرور GCM ارتباط برقرار می‌کند. این روش ارتباط‌گیری امروزه در.بدافزارها بیشتر و بیشتر دیده می‌شود. درب پشتی می‌تواند به دستورات دریافتی.از سرور پاسخ دهد.

جمع‌بندی از تروجان

تمامی عملکردهای این تروجان اجرانشده است و برخی از عملکردهای.موجود استفاده نمی‌شوند. احتمال قوی وجود دارد که این تهدید هنوز درحال‌توسعه است و تروجان در آینده تکامل خواهد یافت. هدف اصلی آن، که از سرور راه دور کنترل.می‌شود، ارسال تبلیغات تهاجمی به کاربر نهایی است درحالی‌که تروجان وانمود می‌کندvکه یک برنامه سیستمی است.
تروجان نیز می‌تواند یک برنامه مخرب.دیگر به دستگاه کاربر ارسال کند. عملکردهای دیگر آن به شرح ذیل است.

g•g تبلیغات ارسالی را فعال و غیرفعال کند
h•h شناسه انتشاردهنده تبلیغات را تغییر دهد
f•f می‌تواند انتخاب کند که تبلیغ را به کاربر نمایش دهد
h•h زمان تأخیر نشان دادن تبلیغات را تغییر دهد
g•g برنامه دانلود، نصب و اجرا کند
f•f هشدار ارسال کند (Push notifications)
e•e Admin Rights را از کاربر بگیرد
r•r سرور ارتباطی برای بدافزار را تغییر دهد
q•q در صفحه home ایکان یا shortcut به URL های نصب برنامه‌ها ایجاد کند.

پس از اجرا هر task که توسط GCM دریافت می‌شود، “دستگاه client” به سرور راه دور.(از طریق HTTPS) اعلام می‌کند که فعالیت موردنظر با موفقیت.انجام‌شده است.

این تروجان با موفقیت به Google Play Store آپلود شده است و امکان.دارد که دلیل آن این بوده که درBouncer همه آلارم های امنیتی بدافزار اجرانشده بودند. مسئله دیگر این است که چرا bouncer تحلیل آماری از “فایل قابل‌اجرا داخل.بسته بازی آپلود شده” به عمل نیاورده است.

در حال حاضر تروجان از Google Play Store حذف‌شده اما آن به مدت یک سال و نیم در فروشگاه گوگل وجود داشت و شناسایی.نشد.

به همین دلیل و باوجود مواردی دیگر، گوگل در ماه مارس 2015 اعلام کرد که تمامی اپ ها و.به‌روزرسانی‌ها باید توسط نیروهای انسانی بررسی و تائید شود.

بهترین روش برای دانلود نکردن بدافزار از فروشگاه‌های رسمی این است که فقط.اپ های از توسعه‌دهندگان مورداطمینان دانلود کنید و نظریات افرادی که آنرا دانلود.نموده‌اند را بخوانید.

همچنین توجه کنید که اپ موردنظر کدام permission ها را در زمان نصب درخواست می‌کند. در صورت مشاهده رفتار مشکوک، اپ را.به ارائه‌دهنده ضدویروس ارسال کنید.

اطلاعات بیشتر و هش ها (Hashes)

روش کار تروجان اندرویدی :