خلاصه گزارش خانواده بدافزاری PushIran.DL

با محبوبیت روزافزون تلفن‌های هوشمند در ایران، این ابزار هوشمند به یکی از بسترهای جذاب برای مجرمان سایبری تبدیل شده است تا از طریق آن به درآمدهای میلیونی دست پیدا کنند. تیم تحقیقاتی ما در اولین گزارش عمومی خود در بخش آزمایشگاه سرتفا، به یکی از شبکه‌های بزرگ کسب درآمد توسط مجرمان سایبری در ایران پرداخته است. گزارشی که در آن به سازوکار مجموعه‌ای از بدافزارهای اندرویدی اشاره شده است که تحت عنوان PushIran.DL‌ معرفی می‌شوند.

معرفی PushIran.DL

در تعریفی خلاصه درباره بدافزارها PushIran.DL می‌توان گفت که این بدافزارها با اهدافی تقریبا مشترک منتشر می‌شوند و میزان دامنه آلودگی آن‌ها در حال افزایش است. مجموعه‌ای که می‌توان آن را یک بات‌نت (Botnet) بزرگ تبلیغاتی برای مصارف مختلف دانست.

تولید و انتشار بدافزار، سوءاستفاده از سرویس‌های شخص ثالث برای ارسال نوتیفیکیشن، دستکاری سایر برنامه‌ها و فریب کاربران، تنها گوشه‌ای از فعالیت سازندگان این بدافزارها است که حریم خصوصی و امنیت دیجیتال میلیون‌ها کاربر موبایل/تلفن هوشمند در ایران را با خطری جدی مواجه کرده است.

 

گستردگی آلودگی

هر چند که ما آمار دقیقی از میزان آلودگی دستگاه‌های موبایلی به PushIran.DL در دست نداریم، اما معتقدیم که دامنه آلودگی‌های آن بیش از ۱۰ میلیون دستگاه اندرویدی در ایران بوده و تنها براساس مستندات جمع‌آوری شده از یکی از سرورهای فرمان و کنترل مهاجمان، این بدافزارها حدود ۱٬۳۶۹٬۰۰۰ دستگاه اندرویدی را آلوده کرده‌اند.

 

انواع بهره‌برداری‌ها

به‌طور کلی می‌توان گفت دامنه فعالیت سازندگان بدافزارهای PushIran.DL گسترده است. برای مثال برخی از فعالیت‌های کنونی سازندگان این بدافزارها به شرح زیر است:

  • نصب تضمینی اپلیکیشن‌های اندرویدی (دانلود پنهانی و نمایش صفحه نصب اپ‌های جدید به‌صورت اجباری)
  • ارسال نوتیفیکیشن براساس اپراتور مخابراتی، موقعیت مکانی، گروه سنی، جنسیت و مدل دستگاه کاربر
  • افزایش بازدید پست‌های تلگرامی و اینستاگرامی
  • نمایش پاپ‌آپ‌های تبلیغاتی در موبایل
  • کلیک دزدی برای بالا بردن میزان بازدید وب‌سایت‌های مختلف و هدایت کاربر به صفحات و وب‌سایت‌های مختلف، مانند وب‌سایت‌های خدمات ارزش افزوده
  • خرید و فروش سورس کد برنامه‌های آلوده، امتیاز برنامه‌های موجود در فروشگاه‌های برنامه‌های موبایلی و واگذاری امتیاز بهره‌برداری از اطلاعات کاربران

 

تحمیل هزینه‌های خدمات ارزش افزوده مخابراتی

فعالسازی و تحمیل هزینه‌های خدمات ارزش افزوده مخابراتی (Value-Added Service یا VAS)، یکی از اهداف سازندگان و منتشر کنندگان بدافزارهای PushIran.DL است که غالبا با ترفندهای کلاهبردارانه و جعلی، به‌صورت پنهانی انجام می‌شود.

برای مثال تنها بر پایه اطلاعات جمع‌آوری شده از یکی از سرورهای سازندگان این بدافزارها، روزانه حدود ۱۱۸ میلیون تومان درآمد حاصل VAS از طریق ۱۰ اپلیکیشن آلوده، نصیب شرکت‌های طرف توافق مخابراتی می‌شود.

 

شیوه‌های متداول انتشار

براساس بررسی‌های چند ماهه روی بیش از ۲۰۰ نمونه فایل و نظارت و کنترل منابع انتشار مختلف، می‌توان گفت که سازندگان و منتشر کنندگان بدافزارهای PushIran.DL از یک الگوی تقریبا مشخص پیروی می‌کنند. در ادامه به‌صورت خلاصه به شیوه‌های انتشار این فایل‌ها اشاره شده است:

  • انتشار فایل‌های APK آلوده از طریق کانال‌های تلگرامی پرطرفدار با عناوین فریبنده
  • ارسال نوتیفیکیشن‌های تبلیغاتی از طریق سایر برنامه‌ها و هدایت کاربر به وب‌سایت‌های دانلود فایل
  • ارسال لینک فایل آلوده به‌وسیله پیامک‌‌‌ و بازنشر خودکار از طریق دستگاه‌های آلوده کاربران
  • استفاده از عناوین جعلی و انتشار رسمی در فروشگاه‌های برنامه‌های موبایلی

 

راه‌های شناسایی و مقابله

بدافزارهای خانواده PushIran.DL که هم‌اکنون تنها از آن‌ها برای مقاصد تجاری استفاده می‌شود، در اغلب موارد توسط آنتی‌ویروس‌های معتبر مانند Dr.Web ،Avira ،ESET NOD32 ،Kaspersky و Trend Micro شناسایی می‌شوند. کاربران در معرض خطر برای بررسی آلوده نبودن و پاکسازی دستگاه‌های خود، پیش از هر چیز بهتر است از یکی از این آنتی‌ویروس‌ها استفاده کنند.

برای پیشگیری و مقابله با این نوع از بدافزارها، موارد زیر به تمام کاربران تلفن‌های هوشمند، به‌ویژه کاربران دستگاه‌های اندرویدی توصیه می‌شود:

  • با استفاده از یک آنتی‌ویروس معتبر و به‌روزرسانی شده، دستگاه خود را بررسی کرده و برنامه‌های بدون استفاده و مشکوک را حذف کنید.
  • از دانلود و نصب فایل‌های منتشر شده در کانال‌های تلگرامی جدا پرهیز کنید.
  • به هیچ عنوان برنامه‌های موبایلی را از فروشگاه‌های غیرمعتبر دریافت نکنید.
  • پیش از دانلود و نصب هر برنامه‌ای، به اطلاعات توسعه‌دهنده، توضیحات برنامه و دسترسی‌های مورد نیاز به همراه نظرات دیگر کاربران درباره کارکرد آن توجه کنید.
  • توجه داشته باشید برخی از سازندگان این بدافزارها، برنامه‌های آلوده خود را در فروشگاه‌های برنامه‌های موبایلی به‌صورت رسمی منتشر می‌کنند که لازم است در نصب برنامه‌های ناشناخته و جدید احتیاط کنید.
  • بیشتر از همیشه مراقب عناوین فریبنده مانند «آنتی‌ویروس هوشمند»، «بهینه‌ساز باتری/اینترنت/سرعت موبایل»، «فال و طالع‌بینی» و... باشید. سازندگان بدافزارها از این اسامی برای فریب کاربران بیشتر استفاده می‌کنند.
  • تمام نوتیفیکیشن‌های نمایش داده شده توسط برنامه‌های مختلف را با دقت بررسی کنید و بیشتر از همیشه مراقب پیشنهادها و توضیحات نمایش داده شده در بخش نوتیفیکیشن موبایل باشید.

 

 

توضیحات بیشتر در:
- گزارش «خانواده بدافزاری PushIran.DL، بات‌نت تبلیغات کلاهبردارانه در ایران»