روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ این عادت همیشگی هر نوع بدافزاری است که خود را اپی بی‌ضرر در فروشگاه‌ رسمی گوگل‌پلی نشان دهد. متأسفانه حتی اگر پلت‌فرم خط‌مشی درستی هم داشته باشد باز هم مدراتورها همیشه نمی‌توانند این اپ‌ها را قبل از ظاهر شدنشان گیر بیاندازند. یکی از محبوب‌ترین سویه‌های این نوع بدافزار، سابسکرایبرهای تروجانی[1] هستند که بدون اطلاع کاربر او را در خدمات پولی عضو می‌کنند. در این مقاله قصد داریم از تروجان عضو‌کننده‌‌ای به نام هارلی صحبت کنیم که تا حد زیادی کارکردش مانند تروجان عضوکننده‌ی جوکر است. از آنجایی که این دو تروجان ریشه‌ی یکسانی دارند جوکر و هارلی بهترین نام برایشان است. با ما همراه بمانید.

مهم‌ترین حقایق در مورد تروجان هارلی

از سال 2020، بیش از 190 اپِ گوگل‌پلی به هارلی آلوده شده‌اند. برآورد محتاطانه تعداد دفعات دانلود این اپ‌ها 4.8 میلیون بار بوده است اما ارقام اصلی شاید بیشتر از اینها باشد. درست مانند تروجان جوکر، خانواده تروجان‌های هارلی هم کار اپ‌های قانونی را تقلید می‌کنند. ساز و کار: اسکمرها از گوگل‌پلی اپ‌های معمولی را دانلود کرده، مد مخرب بدان‌ها تزریق نموده و سپس آن‌ها را تحت نامی متفاوت در گوگل‌پلی آپلود می‌کنند. این اپ‌ها شاید همچنان قابلیت‌هایی داشته باشند که در بخش توضیحات فهرست شده بنابراین کاربران احتمال دارد حتی شک هم نکنند تهدیدی در کمین است.

بیشتر اعضای خانواده جوکر دانلودرهای چندمرحله‌ای هستند- آن‌ها از سرورهای C&C اسکمرها پی‌لود دریافت می‌کنند. تروجان‌های خانواده هارلی اما از طرفی دیگر کل پی‌لود را در اپ شامل می‌شوند و برای رمزگشایی و لانچ کردن آن از متودهای مختلفی استفاده می‌کنند.

ساز و کار تروجان عضوکننده‌ی هارلی

 بیایید اپی به نام com.binbin.flashlight (md5: 2cc9ab72f12baa8c0876c1bd6f8455e7) را مثال بزنیم؛ اپ چراغ‌قوه که از گوگل‌پلی بیش از 10 هزار بار دانلود شده است.

وقتی اپ اجرا می‌شود، یک آرشیو مشکوک لود می‌گردد. این آرشیو از منابع اپ، فایل را رمزگشایی می‌کند. جالب است بدانید سازندگان این بدافزار یاد گرفتند چطور از زبان‌های Go و Rust استفاده کنند اما تا اینجای کار مهارت‌هایشان به رمزگشایی و لود کردن SDK مخرب محدود شده است. مانند هر عضوکننده‌ی تروجان دیگر، هارلی اطلاعات دستگاه کاربر را جمع می‌کند و مشخصاً سر و کارش با شبکه موبایل است. گوشی کاربر به شبکه موبایل سوئیچ می‌شود و سپس تروجان از سرور C&C می‌خواهد لیستی از عضویت‌هایی که باید برایشان ثبت‌نام صورت گیرد تنظیم کند. این تروجان به طور خاص فقط با اپراتورهای تایلندی کار می‌کند پس ابتدا MNCها را که همان کدهای شبکه موبایل هستند چک می‌کند. با این حال، بعنوان MNC آزمایشی از کد چینی تلکام استفاده می‌کند (46011). این و سایر سرنخ‌ها نشان می‌دهد توسعه‌دهندگان بدافزار در چین هستند.

این تروجان آدرس عضویت را در پنجره نامرئی باز می‌کند و فقط با تزریق اسکریپت‌های JS شماره تلفن کاربر را وارد کرده، روی دکمه‌های لازم می‌زند و از پیام متنی کد تأیید را وارد می‌کند. نتیجه این است که کاربر بدون اینکه روحش هم خبر داشته باشد عضویت پولی دریافت کرده است. قابلیت شایان ذکر دیگر این تروجان این است که نه تنها وقتی پروسه تحت حفاظت کد پیام متنی است می‌تواند عضو کند که همچنین وقتی این حفاظت از طریق تماس تلفنی نیز انجام می‌شود فرآیند اشتراک‌گیری ادامه دارد: در این مورد تروجان به یک شماره خاص زنگ می‌زند و عضویت را تأیید می‌کند. محصولات ما اپ‌های مضر را شناسایی می‌کنند.

راهکارهای امنیتی

فروشگاه‌های رسمی اپ همواره در حال مبارزه با توزیع بدافزارها هستند و خوب همانطور که مستحضر هستید همیشه هم در کارشان موفق نیستند. پیش از نصب اپ ابتدا باید تحلیل و نظرات کاربری را بخوانید و  روی گوگل‌پلی رتبه‌بندی آن را بررسی نمایید. البته که باید در نظر داشته باشید برخی امتیازها و نظرات کاربران هم ممکن است مبالغه‌آمیز باشد. برای جلوگیری از قربانی شدن توصیه‌ی همیشگی ما این است که راهکار امنیتی قابل‌اطمینانی را نصب کنید.

[1] Trojan subscribers

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.