بدافزار FollowerInstagram
mci-pages-sharing

کاربران اینستاگرام به دنبال جذب لایک و فالوور بیشتر هستند و در علم روانشناسی ثابت شده است که نیاز به دریافت لایک و فالوور می‌تواند به نوعی اعتیاد‌آور باشد. این نیاز کاربران سبب طراحی اپلیکیشن‌های بسیاری شده است که روشی میان‌بر برای رسیدن به این هدف ارائه می‌دهند. محبوبیت بیشتر و دیده شدن در اینستاگرام، به‌ویژه برای کاربرانی که مدت زمان کوتاهی است که به عضویت این شبکه اجتماعی پیوسته‌اند، مدت زمان زیادی را می‌طلبد. بنابراین، بسیاری از کاربران از طریق مارکت‌های مختلف، چنین برنامه‌هایی را برای دستیابی به نتیجه مطلوب در کوتاه‌ترین زمان ممکن نصب و استفاده می‌کنند. اما برنامه‌هایی که برای افزایش لایک و فالوور نصب می‌شوند، نام کاربری و رمز عبور کاربران را درخواست می‌کنند و معمولا از این اطلاعات برای اهداف شخصی خود بهره می‌برند. در حقیقت، بسیاری از برنامه‌هایی که به عنوان ابزارهای کمکی اینستاگرام معرفی می‌شوند، بدافزار هستند و اطلاعات شخصی کاربران را به سرقت برده و افشا می‌کنند.

در این مطلب به تحلیل برنامه اندرویدی FollowerInstagram می‌پردازیم.

FollowerInstagram از خانواده جاسوس افزارهاست و به بخش‌های مختلف سیستم دسترسی پیدا می‌کند تا تمامی اطلاعات حساس کاربر و مورد نیاز بدافزار را جمع‌آوری کند. به گزارش آزمایشگاه تحلیل بدافزار پادویش، این بدافزار با اتصال از راه دور و از طریق سرور مخرب خود، به هر دستگاه اندرویدی که بدافزار بر روی آن نصب است، دسترسی پیدا می‌کند. همچنین، قسمت‌های مختلفی از گوشی کاربر را رصد می‌کند که شامل پیام‌ها و لیست مخاطبان، گوش دادن به مکالمات قربانی، ضبط صدا، کنترل دوربین، دریافت دسترسی ادمین و امکان برقراری تماس در گوشی قربانی می‌شوند. این برنامه، با استفاده از مجوزهایی که به هنگام نصب دریافت می‌کند، حذف خود توسط کاربر را عملا غیر ممکن می‌کند.

این برنامه بلافاصله بعد از اجرا، حق مدیریت (Device Admin) دستگاه را در اختیار گرفته تا به بقای برنامه خود کمک کند؛ به این ترتیب اجازه نمی‌دهد که کاربر برنامه را به راحتی حذف کند. همچنین، با استفاده از مجوز AccessibilityServices که برای خود از کاربر می‌گیرد، اقدام به سرقت اطلاعات کاملی از برنامه‌های نصب شده روی گوشی، اطلاعات شخصی کاربر مانند اطلاعات تماس‌ها، ارسال و دریافت پیامک، اطلاعات کاملی از گوشی، ضبط صدا، گرفتن عکس، دریافت موقعیت جغرافیایی و... می‌کند. پس از اجرای برنامه، سرویسی که از نوع AccessibilityServices است، برای گرفتن تنظیمات مربوط به سرویس دستیابی فراخوانی می‌شود و به همین منظور صفحه زیر به کاربر نمایش داده می‌شود.

بدافزار FollowerInstagram‬‬‬‬

در صورتی که کاربر دسترسی را برای برنامه فعال کند‌، بدافزار بدون هیچ مشکلی فعالیت مخرب خود را آغاز کرده و سرویس خود را همچنان در پس زمینه بالا نگه می‌دارد (حتی در صورتی که کاربر این سرویس را متوقف کند بعد از چند ثانیه مجددا سرویس راه‌اندازی و سپس به صورت خودکار برنامه بسته و آیکون آن مخفی می‌شود). طبق بررسی‌های انجام شده، بدافزار بعد از گرفتن مجوز سرویس دستیابی به خدمات، یک پرونده شامل لیستی از برنامه‌های نصب شده روی گوشی به همراه تاریخ نصب و package name هر یک تهیه کرده و در مسیر data/data قرار می‌دهد. یعنی برنامه به‌صورت به‌روز لیستی از برنامه‌های نصب شده در گوشی کاربر را تهیه کرده و به منظور جمع‌آوری سایر اطلاعات مورد نظر خود، سرویس برنامه را هر ۳ دقیقه یک بار اجرا کرده و بالا بودن این سرویس را بررسی می‌کند.

طی روندی که هر 15 ثانیه یک بار در حال تکرار است، عملیات مخرب زیر انجام می‌شود:

  • با استفاده از روش WakeLock دستگاه را برای انجام کارهای طولانی در پس زمینه که توسط سرویس‌های برنامه درحال انجام است، روشن نگه می‌دارد.
  • به این خاطر که در حالت‌های خاصی مانند SafeMode اتصال به Wifi به طور خودکار قطع می‌شود، با استفاده از روش WifiLock اتصال دستگاه به Wifi را همچنان روشن نگه می‌دارد.
  • بررسی وضعیت شارژ دستگاه و روشن بودن یا نبودن صفحه نمایش گوشی
  • واکشی اطلاعات کاملی از گوشی کاربر که شامل موارد زیر می‌شوند:
    • مشخصات دستگاه (شناسه،HOST، مدل دستگاه، شماره نسخه bootloader سیستم، نام تجاری دستگاه، نام سخت افزار، اثر انگشت، نام تولید کننده محصول، شماره سریال سخت افزار و...)
    • مشخصات سیستم عامل (نسخه اندروید، نسخه SDK، زبان، زمان فعلی)
    • مشخصات سیم کارت (IMEI، سریال سیم کارت، اپراتور شبکه، نام اپراتور، شماره تلفن و کد کشور ارائه دهنده سیم کارت)
    • موقعیت جغرافیایی یا مکان تلفن از طریق GSM (کد کشور تلفن همراه، کد شبکه تلفن همراه، شناسه تلفن همراه، کد منطقه محل سکونت)
    • باتری (وضعیت شارژ باتری، بررسی اینکه دستگاه از چه طریقی شارژ می‌شود)
    • Wifi (شناسه سرویس، MAC Address، سرعت، کیفیت سیگنال)
    • میزان صدای گوشی
    • بررسی وضعیت اتصال بلوتوث
    • مشخص کردن سیم‌کارت‌های دارای اینترنت فعال
  • دسترسی به حافظه خارجی (SD CARD) و به‌دست آوردن لیست تمام فایل‌های موجود در آن
  • دسترسی به حافظه داخلی گوشی و تغییر در محتویات موجود در آن (مثلا تغییر نام یا محل ذخیره سازی فایل‌ها، تغییر در سایز و قالب تصاویر موجود و...)
  • دسترسی به call log و واکشی اطلاعات کاملی از آن (نام، شماره و...)
  • بررسی root بودن یا نبودن گوشی
  • دسترسی به اطلاعات کاملی از پیامک‌های گوشی کاربر (متن پیامک، نام فرستنده یا گیرنده، شماره فرستنده یا گیرنده، تاریخ و...)
  • دسترسی به اطلاعات حساب‌های کاربری موجود در سیستم (نام و نوع حساب کاربری)
  • دسترسی به اطلاعات کامل مخاطبین گوشی
  • دسترسی به اطلاعات کامل تاریخچه تماس و حذف هر مورد از آن برحسب شناسه مشخص شده
  • دسترسی به اطلاعات کامل مخاطبین گوشی و ایجاد تغییر یا حذف هر مورد از آن برحسب نام مشخص شده
  • واکشی تنظیمات دوربین
  • به‌دست آوردن تنظیمات دوربین گوشی، به منظور اینکه در هر لحظه دوربین عقب تنظیم شده است یا دوربین جلو
  • بازکردن دوربین گوشی
  • تهیه لیستی از setFlashMode ،setFocusMode ،setScanMode وsetColorMode (حالت‌های مختلفی که برای گرفتن عکس تنظیم شده است مثلا تنظیمات فلش، رنگ و اسکن)
  • گرفتن عکس و بررسی اینکه که آیا عکس به درستی گرفته شده است یا خیر
  • تغییر در میزان صدای دستگاه مثلا زیاد کردن صدا در صورتی که صدای سیستم کم یا قطع باشد
  • تنظیم میکروفون به عنوان منبع صوتی برای ضبط صدا، اقدام به ضبط صدا و ذخیره آن در مسیری در حافظه خارجی
  • امکان خاموش/ روشن کردن wifi
  • دسترسی به اطلاعات موقعیت مکانی کاربر با استفاده از GPS و بررسی آن هر 5 ثانیه یک بار
  • بررسی فعال یا غیرفعال شدن GPS
  • با استفاده از getInstalledApplications لیستی از همه برنامه‌هایی که در حال حاضر در گوشی نصب هستند به همراه اطلاعات کاملی همچون تاریخ اولین نصب، تاریخ آخرین به‌روزرسانی، آیکون برنامه، نسخه برنامه، مسیر قرارگرفتن برنامه، حجم برنامه و اینکه برنامه سیستمی هست یا کاربردی(user/system) را دریافت می‌کند.
  • بررسی نصب بودن برنامه‌ای خاص و بازکردن آن در صورت نصب بودن
  • policy سیستم (سیاست‌ها، اصول و قواعد تنظیم شده برای دستگاه) را به دست آورده و سپس عملیات بازگرداندن به تنظیمات کارخانه انجام شده که طی آن همه اطلاعات کاربر حذف می‌شوند.
  • برقراری تماس تلفنی با شماره تماسی مشخص و گرفتن مجوز android.permission.CALL_PHONE
  • با استفاده از روش ()sendTextMessage و تعیین شماره گیرنده و متن پیامک اقدام به ارسال پیامک کرده و سپس وضعیت ارسال صحیح آن را نیز بررسی می‌کند.
  • اقدام به دزدی اطلاعات کلیدهای فشرده شده از صفحه کلید کاربر و ذخیره آن
  • با گرفتن مجوز android.intent.action.DELETE و تنظیم package name برنامه مورد نظر، برنامه‌ها را حذف می‌کند.

در نهایت نیز این بدافزار جاسوسی پس از جمع آوری تمام اطلاعات مورد نظرش در مورد قربانی، آنها را به صورت کد شده به مرکز فرماندهی و کنترل ارسال می‌کند.

در صورت آلودگی به این بدافزار، استفاده از ضدبدافزار‌های معتبر سیستم‌عامل اندروید و یا بازگردانی به تنظیمات کارخانه می‌تواند در پاکسازی تلفن همراه آلوده کمک کند.

در پایان لازم به ذکر است که استفاده از اپلیکیشن‌هایی مانند بدافزار مذکور، همواره خطرات خاص خود را داشته و می‌توانند موجب افشای اطلاعات محرمانه کاربران گردد. لذا پیشنهاد می‌گردد از نصب و استفاده از اپلیکیشن‌های کمکی شبکه‌های اجتماعی با عناوین مختلف خودداری نمایید. همچنین توصیه می‌گردد تا اپلیکیشن‌های موردنیاز خود را از طریق فروشگاه معتبر و رسمی دانلود و نصب فرمایید.