حمله‌ی تروجان هارلی به کاربران اندرویدی

12 مهر 1401 حمله‌ی تروجان هارلی به کاربران اندرویدی

روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ این عادت همیشگی هر نوع بدافزاری است که خود را اپی بی‌ضرر در فروشگاه‌ رسمی گوگل‌پلی نشان دهد. متأسفانه حتی اگر پلت‌فرم خط‌مشی درستی هم داشته باشد باز هم مدراتورها همیشه نمی‌توانند این اپ‌ها را قبل از ظاهر شدنشان گیر بیاندازند. یکی از محبوب‌ترین سویه‌های این نوع بدافزار، سابسکرایبرهای تروجانی[1] هستند که بدون اطلاع کاربر او را در خدمات پولی عضو می‌کنند. در این مقاله قصد داریم از تروجان عضو‌کننده‌‌ای به نام هارلی صحبت کنیم که تا حد زیادی کارکردش مانند تروجان عضوکننده‌ی جوکر است. از آنجایی که این دو تروجان ریشه‌ی یکسانی دارند جوکر و هارلی بهترین نام برایشان است. با ما همراه بمانید.

مهم‌ترین حقایق در مورد تروجان هارلی

از سال 2020، بیش از 190 اپِ گوگل‌پلی به هارلی آلوده شده‌اند. برآورد محتاطانه تعداد دفعات دانلود این اپ‌ها 4.8 میلیون بار بوده است اما ارقام اصلی شاید بیشتر از اینها باشد. درست مانند تروجان جوکر، خانواده تروجان‌های هارلی هم کار اپ‌های قانونی را تقلید می‌کنند. ساز و کار: اسکمرها از گوگل‌پلی اپ‌های معمولی را دانلود کرده، مد مخرب بدان‌ها تزریق نموده و سپس آن‌ها را تحت نامی متفاوت در گوگل‌پلی آپلود می‌کنند. این اپ‌ها شاید همچنان قابلیت‌هایی داشته باشند که در بخش توضیحات فهرست شده بنابراین کاربران احتمال دارد حتی شک هم نکنند تهدیدی در کمین است.

بیشتر اعضای خانواده جوکر دانلودرهای چندمرحله‌ای هستند- آن‌ها از سرورهای C&C اسکمرها پی‌لود دریافت می‌کنند. تروجان‌های خانواده هارلی اما از طرفی دیگر کل پی‌لود را در اپ شامل می‌شوند و برای رمزگشایی و لانچ کردن آن از متودهای مختلفی استفاده می‌کنند.

ساز و کار تروجان عضوکننده‌ی هارلی

 بیایید اپی به نام com.binbin.flashlight (md5: 2cc9ab72f12baa8c0876c1bd6f8455e7) را مثال بزنیم؛ اپ چراغ‌قوه که از گوگل‌پلی بیش از 10 هزار بار دانلود شده است.

وقتی اپ اجرا می‌شود، یک آرشیو مشکوک لود می‌گردد. این آرشیو از منابع اپ، فایل را رمزگشایی می‌کند. جالب است بدانید سازندگان این بدافزار یاد گرفتند چطور از زبان‌های Go و Rust استفاده کنند اما تا اینجای کار مهارت‌هایشان به رمزگشایی و لود کردن SDK مخرب محدود شده است. مانند هر عضوکننده‌ی تروجان دیگر، هارلی اطلاعات دستگاه کاربر را جمع می‌کند و مشخصاً سر و کارش با شبکه موبایل است. گوشی کاربر به شبکه موبایل سوئیچ می‌شود و سپس تروجان از سرور C&C می‌خواهد لیستی از عضویت‌هایی که باید برایشان ثبت‌نام صورت گیرد تنظیم کند. این تروجان به طور خاص فقط با اپراتورهای تایلندی کار می‌کند پس ابتدا MNCها را که همان کدهای شبکه موبایل هستند چک می‌کند. با این حال، بعنوان MNC آزمایشی از کد چینی تلکام استفاده می‌کند (46011). این و سایر سرنخ‌ها نشان می‌دهد توسعه‌دهندگان بدافزار در چین هستند.

این تروجان آدرس عضویت را در پنجره نامرئی باز می‌کند و فقط با تزریق اسکریپت‌های JS شماره تلفن کاربر را وارد کرده، روی دکمه‌های لازم می‌زند و از پیام متنی کد تأیید را وارد می‌کند. نتیجه این است که کاربر بدون اینکه روحش هم خبر داشته باشد عضویت پولی دریافت کرده است. قابلیت شایان ذکر دیگر این تروجان این است که نه تنها وقتی پروسه تحت حفاظت کد پیام متنی است می‌تواند عضو کند که همچنین وقتی این حفاظت از طریق تماس تلفنی نیز انجام می‌شود فرآیند اشتراک‌گیری ادامه دارد: در این مورد تروجان به یک شماره خاص زنگ می‌زند و عضویت را تأیید می‌کند. محصولات ما اپ‌های مضر را شناسایی می‌کنند.

راهکارهای امنیتی

فروشگاه‌های رسمی اپ همواره در حال مبارزه با توزیع بدافزارها هستند و خوب همانطور که مستحضر هستید همیشه هم در کارشان موفق نیستند. پیش از نصب اپ ابتدا باید تحلیل و نظرات کاربری را بخوانید و  روی گوگل‌پلی رتبه‌بندی آن را بررسی نمایید. البته که باید در نظر داشته باشید برخی امتیازها و نظرات کاربران هم ممکن است مبالغه‌آمیز باشد. برای جلوگیری از قربانی شدن توصیه‌ی همیشگی ما این است که راهکار امنیتی قابل‌اطمینانی را نصب کنید.

 

[1] Trojan subscribers

 

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.

محصولات مرتبط

  • Kaspersky Internet Security

    ایمن بمانید- هرآنچه در محل کار و خانه انجام می‌دهید هرآنچه در محیط آنلاین انجام می‌دهید- روی دستگاه‌های پی‌سی، مک و اندروید- بسته‌ی امنیتی پیشرفته و تک‌لایسنسیِ ما به شما کمک ...

    5,825,650 ریال11,651,300 ریال
    خرید
  • Kaspersky Internet Security for Android

    امنیت پیشرفته‌ای که همیشه همراه شماست بخش مهمی از زندگی اکثر ما اکنون روی گوشی‌ها و تبلت‌هاست- پس به امنیت موبایلی نیاز دارید که شما را همیشه امن نگه ...

    1,940,650 ریال3,881,300 ریال
    خرید
  • Kaspersky Total Security

    قوی‌ترین و پرفروش‌ترین مجموعه‌‌ امنیتی ما امنیت خانواده چنددستگاهه مجهز به آنتی‌ویروس، ضدباج‌افزار، امنیت وبکم، مدیر کلمه‌عبور و 87 فناوری دیگر، همگی با یک لایسنس. ...

    6,214,520 ریال15,536,300 ریال
    خرید
  • Kaspersky Cloud Password Manager

    Kaspersky Cloud Password Manager ابزار مدیریت کلمه عبور ابری کسپرسکی (KCPM) ضمن ذخیره ایمن تمامی کلمات عبور مورد استفاده شما برای وبسایت‌ها، اپلیکیشن‌ها، و شبکه‌های اجتماعی آنها را در تمامی ...

    5,823,800 ریال
    خرید
  • Kaspersky Safe Kids

    شما می توانید بر ارتباطات اینترنتی کودکان از قبیل فعالیتهای عمومی در فیسبوک، کنترل تماسها و پیامها از طریق دستگاههای اندرویدی نظارت داشته باشید. کمک شما به کودکان بهترین راهنمایی برای آنها ...

    5,823,800 ریال
    خرید
  • Kaspersky Antivirus

    بهترین آنتی‌ویروس ما برای ویندوز پی‌سی شما جدیدترین ویروس‌ها، باج افزارها، جاسوس‌افزارها، رمزگرها و غیره را بلاک کرده و کمک می‌کند جلوی بدافزار ماینینگِ رمزارز -که به ...

    3,883,150 ریال7,766,300 ریال
    خرید
  • Kaspersky Small Office Security

    محافظت در حین کار Kaspersky Small Office Security به طور خاص برای سازمان‌هایی طراحی شده است که 5 تا 50 دستگاه کامپیوتر در خود جای داده‌اند. نصب آن بسیار آسان است؛ مدیریت آن ...

    4,195,800 ریال13,986,000 ریال
    خرید

نظر خودتان را ارسال کنید


کاربر گرامی چنانچه تمایل دارید، نقد یا نظر شما به نام خودتان در سایت ثبت شود، لطفاً وارد سایت شوید.
*نظر
کلیه حقوق مادی و معنوی این سایت محفوظ و متعلق به شرکت گسترش خدمات تجارت الکترونیک ایرانیان است و هر گونه کپی برداری از آن پیگرد قانونی دارد