در حال حاضر تهدیدی جدی که میتوان گفت همه کاربران تلفنهای همراه را در ایران هدف قرار داده، آلوده ساختن میلیونها دستگاه اندرویدی است.
فایل آلوده به بدافزاری که پس از آلوده ساختن هر دستگاه، اقدام به ارسال مجدد پیامک به کل افرادی میکند که در لیست تماس تلفن همراه کاربر قرار دارند و به این صورت این بدافزار خودش را گسترش میدهد.
عامل اصلی انتشار این بدافزار و نمونههای مشابه که خودشان را به عنوان ابزارهای دور زدن فیلترینگ اینترنت معرفی میکنند، سانسور سرویسهایی مانند تلگرام و اینستاگرام است که میلیونها کاربر در ایران داشته و دارند.
خرابکاران سایبری با ایجاد و انتشار بدافزارهای گوناگون تحت عنوان فیلترشکنهای مشهور و جدید، کاربران زیادی را فریب میدهند و با آلوده کردن دستگاههای آنها، اقدام به سرقت اطلاعات خصوصی، هک حسابهای کاربری و سایر اعمال مجرمانه میکنند.
یکی از مواردی که در روزهای گذشته در شبکه مخابراتی ایران مشاهده شده، پیامکی است با مضمون “سلام – این فیلترشکن رو دانلود کن باهاش میتونی خیلی راحت به تلگرام وصل بشی http://qqt.ir/abcde” که به شهروندان ایرانی ارسال شده و همچنان ارسال میشود.
فایل فیلترشکن معرفی شده در این پیامک که به صورت یک لینک کوتاه شده به مخاطبان ارسال میشود، پس از باز کردن لینک، کاربر را به یک سایت تازه تاسیس به نشانی “http://serverclient12[.]tk” هدایت میکند برای دریافت فایلی با پسوند APK (فایل نصب برنامههای اندرویدی).
این فایل که به عمد “psiphone6” نامگذاری شده است، در گام نخست با بهره از نام و تصویر فیلترشکن رسمی سایفون، سعی در فریب کاربر برای نصب خود دارد و پس از نصب و اجرای آن، سه پیغام خطای جعلی پیدرپی نمایش داده میشود:
۱- لطفا به اینترنت متصل شوید
۲- برای عملکرد صحیح برنامه لطفا اینترنت را روشن کرده و مجددا تلاش کنید
۳- Proxy not working in your phone! , PSIPHON deleted successfully
این پیغامها به کاربر القاء میکند که این فیلترشکن با دستگاه او سازگار نبوده و با موفقیت حذف شده است. اما در واقع بدافزار در پشت پرده به فعالیت خود ادامه داده و در مرحله اول اقدام به ارسال پیامک حاوی لینک دانلود مجدد بدافزار به تمام افرادی میکند که در دفترچه تماس کاربر قربانی قرار دارند. سپس به صورت کنترل از راه دور، منتظر فرمانهای ارسالی از سوی سازندگان خود میشود تا دستورات جدید را اجرا کند.
از دیگر قابلیتهای مهم و قابل توجه این بدافزار، امکان دریافت و نصب فایلهای مختلف (از جمله بدافزار) از طریق اینترنت است. باید توجه داشت که این بدافزار بهگونهای طراحی شده است که میتواند خود را بهروزرسانی کند و فعالیتهای مخرب بیشتری انجام دهد.
نکته جالب و شاید غیرقابل باور در مورد این بدافزار این است که سازندگان آن بهاحتمال بسیار زیاد در نسخههای بدافزاری/نرمافزاری پیشین خود از دستوراتی برای پرداختهای بانکی از طریق درگاه شاپرک بانک ملت استفاده کرده بودند و در این نسخه بدافزاری، بخشهایی از کدهای قبلی خود را کپی کردهاند.
این بدافزار در زمان نصب ۳۲ دسترسی مختلف میگیرد که با نگاهی به آنها براحتی میتوان دید که این بدافزار میتواند:
- از طریق دستگاه قربانی به هر تعداد پیامک ارسال کند و تمامی پیامکهای دریافتی را میتواند بخواند. به عنوان مثال اگر شما کد تایید برای تلگرام را دریافت کنید و این بدافزار بر روی تلفن همراه شما نصب باشد، طراح این بدافزار براحتی میتواند این کد تایید را بخواند و از طریق آن حساب تلگرام را فعال کند.
- به وضعیت شبکهای که دستگاه تلفن همراه قربانی به آن وصل شده است دسترسی پیدا کند و اطلاعات لازم مانند نام وایفای، ارائه دهنده سرویس و غیره را برای طراح بدافزار ارسال کند. این ویژگی براحتی به طراح این بدافزار امکان میدهد که لیست کامل وایفایهایی را که قربانی در جاهای مختلف به آن وصل شده را به دست آورد و در صورت نیاز از آنها برای شناسایی مکانهای رفت و آمد افراد استفاده کند.
- تمام اطلاعات حافظه خارجی گوشی (مانند کارت SD) را بخواند یا هر اطلاعاتی را که بخواهد در آن ذخیره کند.
- تمام تنظیمات (Settings) دستگاه را مشاهده کند و در صورت نیاز تغییر دهد. به عنوان مثال این اپلیکیشن میتواند اپلیکیشنهایی مانند آنتیویروس را بدون آنکه کاربر متوجه شود غیرفعال کند.
- طبق بررسیهای انجام شده، این بدافزار از دو سرویس OneSignal و Ronash برای ارسال یادآوری (نوتیفیکیشن) استفاده میکند. نوتیفیکیشنهایی که با توجه به سازوکار این بدافزار، میتوان آن را نوعی ارسال فرمان برای فعالیتهای آینده تلقی کرد.
سازندگان این بدافزار پیش از این نیز اقدام به انتشار بدافزارهای مشابه دیگری نیز کرده بودند. به عنوان مثال میتوان به دو نسخه جعلی گوگل پلی و همچنین سرویس پیامک جعلی اشاره کرد:
براساس همین سه بدافزار مشابه میتوان این ادعا را مطرح کرد که طراحان، در گذشته از طریق این بدافزارها وبسایتهایی مانند دولت بهار را – متعلق به محمود احمدینژاد، رئیس جمهوری سابق ایران است – تبلیغ میکردهاند و سعی در افزایش رتبه این وبسایت در سایت آلکسا داشتهاند.
در نهایت اگر شما به هر دلیل این بدافزار را بر روی تلفن همراه خود نصب کردهاید، میتوانید از آنتیویروس Avira Antivirus Security استفاده کنید و آن را حذف کنید.