اخیرا پس از مسدود شدن تلگرام و با سوء استفاده از نیاز کاربران ایرانی به استفاده از وی پی ان برای دور زدن فیلترینگ، پیامک‌هایی به صورت گسترده به کاربران ایرانی ارسال شد که حاوی لینک‌هایی برای دانلود کردن اپلیکیشنهای وی پی ان جعلی بودند.

بنیاد کوریوم  (Qurium) که یک بنیاد غیرانتفاعی سوئدی فعال در حوزه آزادی بیان و امنیت اینترنتی می باشد، در اوایل ژانویه ۲۰۱۸ گزارشی را در مورد اینکه چگونه این بدافزارها و جاسوس افزارها میلیونها کاربر ایرانی را تهدید می کند تهیه کرد.

در این گزارش به دو اپلیکیشن جعلی اندروید که از طریق پیامک در هفته اول ژانویه برای کاربران ارسال شده اشاره شده است. اولین اپلیکیشن‌ جعلی “فیلترشکن آمدنیوز” (Amadnews VPN) نام داشت و در حوزه آمازون استوریج (Amazon Storage) قرار داشت. نمونه دوم که هویت نرم‌افزار “سایفون ۶”را جعل کرده بود، ابتدا در سرویس ذخیره مجازی Backstory.com و سپس در serverclient12.tk قرار داشت.

001.png
پیامک ارسال شده برای دانلود برنامه جعلی سایفون ۶

گوشی قربانیانی که فریب این پیامک‌ها را خورده و اقدام به نصب اپلیکیشن جعلی سایفون ۶ کرده‌اند آلوده شده و اطلاعات شخصی موجود در آنها در اختیار عاملان این حملات قرار گرفته است. این بدافزار از طریق دو خدمات دهنده ارسال نوتیفیکیشن گوشی‌‌های همراه در ایران، پوشه (pushe.co) و وان سیگنال (onesignal.com)، کنترل شده و قادر است که هویت دو مرحله‌ای (Two Factor Authentication) را دور زده و پیامکهای کاربران را سرقت کند. علاوه بر این، حمله کننده می‌تواند به موقعیت مکانی گوشی و جزئیات تماس‌های آن دسترسی پیدا کند. تجزیه و تحلیل اولیه از کد این برنامه نشان داده‌است که برنامه از طریق بدست گرفتن کنترل دستگاه‌های آلوده از راه دور، به دیده‌شدن بیشتر محتوای مشخصی در تلگرام و اینستاگرام کمک می‌کند.

بنابر گزارش بنیاد کوریوم، امیرپارسا دهفولی، توسعه دهنده اپلیکیشن جعلی سایفون ۶ می باشد. وی مشاور شرکت  «اد ونچر» (ad-venture.ir) که یک شرکت بازاریابی دیجیتال است می‌باشد.

براساس پیگیری‌ها و تحقیقاتی که بنیاد کوریوم انجام داد تا دریابد که آیا هنوز اپلیکیشن تقلبی سایفون ۶ همچنان فعال است یا خیر، این بنیاد دریافت که حمله کننده دیگر از خدمات نوتیفیکیشن پوشه (pushe.co) استفاده نمی‌کند (ممکن است حساب آن مسدود شده باشد) بلکه از خدمات   وان سیگنال (onesignal.com) به‌منظور کنترل دستگاه‌های آلوده استفاده می‌کند. در زمان انتشار گزارش، تست برنامه نشان داد که در روز ۲ تا ۵ پوش نوتیفیکیشن  انجام می‌گیرد که هرکدام شامل ۱۲ پیام مختلف تلگرامی بوده و  دستگاه‌های موبایل را وادار می‌کرده است که محتوای مشخصی را از ۷ کانال تلگرامی در عرض ۳ ثانیه بارگیری کند:

  • Asrtarfand
  • bazarapp_ir
  • hamechiitamommm
  • apkcenter
  • allllllooooppp
  • App_Store
  •  maebodgahashghan

بسیاری از پست‌های این کانال‌ها حاوی اسناد APK برنامه‌های جعلی مشابه با درب‌های پشتی (backdoor) می باشد. بطور مثال پست t.me/bazarapp_ir/4467 به  “com.panel.keyboard” مربوط به برنامه “ir.samaanak.keyboard” اشاره دارد. این برنامه دارای درب پشتی می باشد.

002
پست کانال کافه بازار – دانلود برنامه جعلی زیبانویس حرفه‌ای دارای درب پشتی

چگونه قربانی اپلیکیشن‌های جعلی نشویم؟

بررسی این گزارش درس‌های زیادی برای همه ما که در فضای مجازی فعال هستیم دارد. از یک طرف کاربران ایرانی که در تلگرام فعال هستند ۴۰ میلیون نفر می‌باشند و بسیاری از آنها از نسخه‌های تلگرام غیررسمی استفاده می‌کنند که امن نیست. از طرف دیگر خدمات ارسال پیام یا پوش نوتیفیکیشن در موبایل، امکان ایجاد مکانیزیمی برای به کنترل در آوردن موبایل را به توسعه دهندگان نرم افزار میدهد. در دام «کلاهبرداری کلیک» افتادن امر بدی است ولی بدتر از آن نصب بدافزار با قابلیت جاسوس افزاری است که بسیار بدتر است و امنیت شخصی کاربران فعال در فضای مجازی ایرانی را به خطر می اندازد.

لذا در کار با موبایل و فضای مجازی همواره باید هوشیار باشیم. اقدامات زیر به ما کمک می‌کند تا کمتر در معرض این تهدیدات قرار بگیریم:

۱. برنامه‌های مورد نیاز گوشی خود را از فروشگاه‌های رسمی اندروید و آیفون دانلود و نصب کنید. دانلود برنامه‌ها از منابع دیگر و بطور خاص فروشگاه‌هایی مانند کافه بازار، دستگاه شما را در معرض تهدید آلوده شدن به بدافزار و جاسوس افزار قرار می‌دهد.

۲. هیچ لینک یا فایلی که از منابع ناشناس برای شما  ارسال شده است را دانلود یا باز نکنید. در گشت‌زنی وب و شبکه‌های اجتماعی با هر لینکی که مواجه می‌شوید به خود یادآوری کنید که ممکن است آن لینک یک بدافزار را روی دستگاه شما نصب کند.

۳. همواره سیستم عامل و نرم افزارهای خود را بروز نگه دارید. یکسری از حفره های امنیتی به محض کشف شدن، توسط شرکت‌های توسعه دهنده نرم‌افزار یا سیستم عامل با بروزرسانی بسته می شوند.

۴. همواره از برنامه های ضدویروس و ضد بدافزار مانند Malwarebytes، 360 Security، و Lookout استفاده کنید.

پاسخی بگذارید