روابط عمومی شرکت ایدکو (توزیعکنندهی محصولات کسپرسکی در ایران)؛ در آوریل ۲۰۲۵، ما از یک نسخه جدید از بکدر تریادا خبر دادیم که توانسته بود به سیستمعامل دستگاههای اندرویدی تقلبی که در بازارهای معتبر فروخته میشدند، نفوذ کند. این بدافزار در بخش سیستم دستگاه جا خوش کرده و با اتصال به زیگوت (فرآیند اصلی اجرای تمام اپلیکیشنها در اندروید)، هر برنامهای که روی گوشی باز میشد را آلوده میکرد. به این ترتیب، تروجان میتوانست اطلاعات ورود کاربران به پیامرسانها و شبکههای اجتماعی را سرقت کند. این کشف، ما را به جستجوی عمیقتر برای یافتن تهدیدهای مشابه در سطح سیستمعامل اندروید ترغیب کرد. در ادامه تحقیقات، به یک بکدر جدید به نام Keenadu برخوردیم که دقیقاً مانند تریادا، خود را در سیستمعامل دستگاه پنهان میکرد تا تمام اپهای اجرا شده روی گوشی را آلوده کند. مشخص شد که دامنه نفوذ کینادو بسیار گسترده است؛ به طوری که پس از کشف اولیه، با موجی از درخواستهای کاربران برای کسب اطلاعات بیشتر درباره این تهدید مواجه شدیم. هدف این مقاله، پاسخ به این سوالات و ارائه جزئیات کاملی درباره این تهدید جدید است. با ما همراه باشید.
این بکدر در سیستمعامل دستگاههای چند برند مختلف کشف کردیم. آلودگی در مرحله ساخت سیستمعامل رخ داده بود، جایی که یک کتابخانه مخرب استاتیک به فایل اصلی اندروید متصل شده بود. پس از فعال شدن روی دستگاه، بدافزار خود را مانند تریادا به فرآیند زیگوت تزریق میکرد. در چندین مورد، سیستمعامل آلوده شده از طریق بهروزرسانی هوایی برای کاربران ارسال شده بود. یک کپی از این بکدر با اجرای هر برنامه، وارد حافظه آن میشود. این بدافزار یک بارگذار چندلایه است که به عاملان حمله کنترل کامل و از راه دور روی دستگاه قربانی میدهد. موفق شدیم پیلودهایی را که Keenadu دریافت میکرد رهگیری کنیم. این ماژولها بسته به برنامه هدف، موتور جستجوی مرورگر را میدزدند، از نصب برنامههای جدید کسب درآمد میکردند و بدون جلب توجه با المانهای تبلیغاتی تعامل داشتند. یک پیلود خاص که در تحقیقات شناسایی شد، در برنامههای مستقلی هم دیده شد که در فروشگاههای شخص ثالث و حتی فروشگاههای رسمی مانند گوگلپلی توزیع شده بودند.
در برخی سیستمعاملها، کینادو مستقیماً در ابزارهای حیاتی دستگاه مثل سرویس تشخیص چهره و برنامه لانچر ادغام شده بود.
تحقیقات ما ارتباط بین برخی از بزرگترین باتنتهای اندروید یعنی تریادا، بادباکس، ووید و Keenadu را آشکار کرد.
راهکارهای امنیتی کسپرسکی تهدیدهای ذکر شده را با عناوین زیر شناسایی میکنند:
HEUR:Backdoor.AndroidOS.Keenadu.*
HEUR:Trojan-Downloader.AndroidOS.Keenadu.*
HEUR:Trojan-Clicker.AndroidOS.Keenadu.*
HEUR:Trojan-Spy.AndroidOS.Keenadu.*
HEUR:Trojan.AndroidOS.Keenadu.*
HEUR:Trojan-Dropper.AndroidOS.Gegu.*
تزریق بدافزار از طریق کتابخانه سیستمی
در ابتدای تحقیقات، توجه ما به دو کتابخانهیا آرشیو در مسیرهای /system/lib/libandroid_runtime.so و /system/lib64/libandroid_runtime.so جلب شد. این کتابخانه در نسخه اصلی اندروید وجود دارد و وظیفه آن تعریف متد بومی println_native برای کلاس لاگ اندروید است. برنامهها از این متد برای نوشتن در لاگ سیستم استفاده میکنند. در نسخههای آلوده، پیادهسازی این متود با نسخه اصلی فقط در یک فراخوانی تابع تفاوت داشت. تابع مشکوک با استفاده از الگوریتم رمزنگاری دادهها را از بدنه کتابخانه استخراج و رمزگشایی میکرد و سپس آن را در مسیر مشخصی ذخیره مینمود. این دادهها در واقع یک پیلود بود که از طریق یک پیلود مخصوص بارگذاری میشد. نقطه ورود به این پیلود، متد اصلی یک کلاس خاص بود که احتمالاً "ak" در نام آن به نام داخلی بدافزار توسط نویسنده اشاره دارد. این ترکیب حروف در بخشهای دیگری از کد نیز دیده میشود. نکته قابل توجه این است که توسعهدهندگان حجم قابل توجهی کد برای نوشتن پیامهای خطا در لاگ سیستم حین اجرای بدافزار باقی گذاشتهاند که این پیامها با برچسب خاصی مشخص میشوند.
این پیلود ابتدا بررسی میکند که آیا درون برنامههای سیستمی متعلق به سرویسهای گوگل یا اپراتورهای مخابراتی خاص اجرا میشود یا خیر. این برنامههای اپراتوری معمولاً در نسخههای ویژه دستگاههایی یافت میشوند که اپراتورها با تخفیف و در ازای قرارداد خدماتی میفروشند. اگر بدافزار تشخیص دهد درون این فرآیندها در حال اجراست، فعالیت خود را متوقف میکند. همچنین یک مکانیسم توقف اضطراری دارد که در صورت یافتن فایلهایی با نامهای خاص در پوشههای سیستمی، اجرای خود را خاتمه میدهد.
در مرحله بعد، بدافزار بررسی میکند که آیا درون فرآیند اصلی سیستم اجرا میشود یا خیر. این فرآیند کنترل کل سیستم را در دست دارد و دارای بالاترین سطح دسترسی است و توسط زیگوت هنگام راهاندازی ایجاد میشود. اگر بررسی مثبت باشد، بدافزار یک نمونه از کلاس سرور میسازد. اگر کد در هر فرآیند دیگری اجرا شود، به جای آن یک نمونه از کلاس کلاینت میسازد. سپس متد مجازی شیء جدید را فراخوانی کرده و نام فرآیند برنامه را به آن ارسال میکند. نام این کلاسها نشان میدهد که بدافزار بر اساس معماری مشتری-خدمتگذار ساخته شده است.
فرآیند اصلی سیستم، سرویسهای مختلفی را با کمک یک کلاس مدیریتی ایجاد و راهاندازی میکند. این سرویسها بر اساس معماری مشتری-خدمتگذار هستند و برنامهها برای دریافت آنها از یک متد خاص استفاده میکنند. ارتباط با سرویسدهنده از طریق سازوکار ارتباط بینفرآیندی اندروید به نام بایندر انجام میشود. این روش مزایای امنیتی متعددی دارد از جمله امکان محدود کردن دسترسی برخی برنامهها به سرویسهای مختلف و وجود لایههای انتزاعی که استفاده از این دسترسی را برای توسعهدهندگان ساده کرده و همزمان از سیستم در برابر آسیبپذیریهای احتمالی برنامهها محافظت میکند.
نویسندگان کینادو آن را به روش مشابهی طراحی کردهاند. منطق اصلی در کلاس سرور قرار دارد که درون فرآیند اصلی سیستم فعالیت میکند. این کلاس در واقع یک سرویس سیستم مخرب محسوب میشود، در حالی که کلاس کلاینت به عنوان واسطی برای دسترسی به این سرویس از طریق بایندر عمل میکند. تأکید بر این نکته ضروری است که Keenadu نمونه دیگری از مواردی است که اصول کلیدی امنیتی اندروید نقض میشود. اولاً به دلیل اینکه بدافزار در کتابخانه سیستمی اصلی جاسازی شده، درون بستر تمام برنامههای دستگاه فعالیت میکند و به همه دادههای آنها دسترسی پیدا میکند که این امر مفهوم سندباکس برنامهها را بیمعنا میسازد. ثانیاً، این بدافزار رابطهایی برای دور زدن مجوزها فراهم میکند که برای کنترل سطح دسترسی برنامهها در سیستم استفاده میشوند. بنابراین این بدافزار یک بکدر تمامعیار است که به مهاجمان امکان کنترل تقریباً نامحدود روی دستگاه قربانی را میدهد.
معماری کلاینت
کلاینت از نظر طراحی نسبتاً ساده است. این بخش به هر برنامهای که روی دستگاه اجرا میشود تزریق میشود و یک نمونه رابط برای ارتباط با سرور از طریق یک پیام محافظت شده دریافت میکند. با استفاده از بایندر، این رابط یک درخواست اتصال به سرور مخرب ارسال کرده و یک بسته ارتباطی را ارائه میکند که بارگذاری فایلهای اجرایی دلخواه را در بستر برنامه آلوده شده امکانپذیر میسازد. این به سرور اجازه میدهد تا پیلودهای مخرب سفارشیسازی شده برای برنامه خاص هدف را اجرا کند.
معماری سرور
در آغاز اجرا، سرور دو پیام محافظت شده ارسال میکند. همانطور که پیشتر توضیح داده شد، پیام اول یک نمونه رابط را برای تعامل با سرور به سایر فرآیندهای آلوده به کلاینت تحویل میدهد. همراه با پیام دوم، نمونه دیگری از یک رابط برای تعامل با سرور ارسال میشود. ماژولهای مخربی که درون بستر سایر برنامهها دانلود میشوند میتوانند از این رابط برای موارد زیر استفاده کنند:
- اعطای هرگونه مجوز به هر برنامه دلخواه روی دستگاه
- لغو هرگونه مجوز از هر برنامه دلخواه روی دستگاه
- دریافت موقعیت جغرافیایی دستگاه
- استخراج اطلاعات دستگاه
پس از برقراری ارتباط بین اجزای سرور و کلاینت، سرور وظیفه مخرب اصلی خود را با عنوان کارگر اصلی راهاندازی میکند. در اولین اجرا، کارگر اصلی زمان جاری سیستم را ثبت میکند. سپس بدافزار تنظیمات زبان و منطقه زمانی دستگاه را بررسی میکند. اگر زبان رابط یکی از گویشهای چینی باشد و دستگاه در منطقه زمانی چین قرار داشته باشد، بدافزار فعالیت خود را متوقف میکند. همچنین اگر فروشگاه گوگل پلی یا سرویسهای گوگل پلی روی دستگاه نصب نباشند، غیرفعال میماند. اگر دستگاه این بررسیها را با موفقیت پشت سر بگذارد، بدافزار وظیفه افزونه را آغاز میکند. در ابتدای روال خود، وظیفه افزونه آدرسهای سرور فرماندهی و کنترل را از کد به روش زیر رمزگشایی میکند:
۱ رشته آدرس رمزگذاریشده با روش رمزگشایی متداول کدگشایی میشود.
۲ داده حاصل که یک بافر فشرده شده است، سپس از حالت فشرده خارج میشود.
۳ داده از حالت فشرده خارج شده با استفاده از الگوریتم خاصی در حالت مشخص رمزگشایی میشود. کلید رمزگشایی، چکیده رشته مشخصی است و بردار اولیه نیز رشته ثابت دیگری میباشد.
پس از رمزگشایی آدرسهای سرورهای فرماندهی، بدافزار اطلاعات دستگاه قربانی مانند مدل، شناسههای دستگاه، آدرس مک و نسخه سیستمعامل را جمعآوری کرده و با همان روش آدرسهای سرور رمزگذاری میکند، اما این بار از چکیده رشته دیگری به عنوان کلید رمزگذاری استفاده میکند. داده رمزگذاری شده از طریق یک درخواست اینترنتی به مسیر مشخصی روی سرور فرماندهی ارسال میشود. پارامترهای درخواست شامل دو مقدار است: یکی چکیده شناسه دستگاه و دیگری نوع اتصال شبکه. پاسخ سرور شامل یک فیلد کد است که ممکن است حاوی کد خطای برگشتی از سرور باشد. اگر این فیلد مقدار صفر داشته باشد، به معنای عدم وقوع خطاست. در این صورت، پاسخ شامل یک فیلد داده خواهد بود: یک شیء رمزگذاری شده به همان روش داده درخواست که حاوی اطلاعاتی درباره پیلودهاست.
چگونگی نفوذ به کتابخانه سیستمی
پس از تحلیل مراحل اولیه آلودگی، تصمیم گرفتیم دقیقاً نحوه ادغام این بکدر در سیستمعامل دستگاههای اندرویدی را مشخص کنیم. تقریباً بلافاصله، گزارشهای عمومی از کاربران تبلتهای خاصی در مورد پرسوجوهای مشکوک شبکهای که از دستگاههایشان سرچشمه میگرفت کشف کردیم. این فروشنده پیشتر حضور بدافزار را در یکی از مدلهای تبلت خود تأیید کرده بود. با این حال، بیانیه شرکت حاوی جزئیاتی درباره اینکه کدام بدافزار دستگاهها را آلوده کرده یا چگونه این نفوذ رخ داده بود، نبود. ما تلاش خواهیم کرد به این پرسشها پاسخ دهیم.
پرسوجوهای شبکهای که کاربر مذکور گزارش داده بود نیز برای ما مشکوک به نظر میرسید. بر اساس اطلاعات ما، دامنههای سرورهای فرماندهی کینادو که در آن زمان بهدست آمده بودند، به آدرسهای آیپی مشخصی منجر میشدند. دامنههایی که در گزارش کاربر ذکر شده بود نیز به همین آدرسها منجر میشدند که میتواند نشان دهد تبلت این کاربر نیز به کینادو آلوده بوده است. با این حال، تطابق آدرسهای آیپی به تنهایی برای انتساب قطعی کافی نیست. برای آزمایش این فرضیه، نیاز به بررسی خود دستگاه بود. ما خرید همان مدل تبلت را در نظر گرفتیم، اما این کار ضروری نبود: مشخص شد که شرکت مورد نظر بایگانیهای سیستمعامل دستگاههای خود را بهصورت عمومی منتشر میکند و هر کسی میتواند آنها را از نظر بدافزار بررسی کند.
برای تحلیل سیستمعامل، ابتدا باید قالب ذخیرهسازی محتویات آن مشخص شود. بستههای سیستمعامل این شرکت، بایگانیهایی هستند که شامل فایلهای تصویری گوناگون، انواع دیگری از فایلها و یک ابزار بهروزرسانی مبتنی بر ویندوز میباشند. از دیدگاه تحلیلی، سیستم فایل اندروید بیشترین ارزش را دارد. بخشهای اصلی آن، از جمله بخش سیستم، درون یک فایل تصویری خاص قرار دارند. این یک تصویر فشرده اندروید است. به اختصار، ابزارهای متنبازی برای استخراج این بخشها به صورت تصاویر استاندارد سیستم فایل وجود دارد.
ما کتابخانه مورد نظر را از سیستمعامل یک مدل تبلت خاص مورخ اوت ۲۰۲۳ استخراج کردیم. پس از بررسی کتابخانه، بکدر کینادو را کشف کردیم. علاوه بر این، پیلود را رمزگشایی کرده و آدرسهای سرور فرماندهی میزبانشده روی دامنههای مذکور را استخراج کردیم که شک کاربر را تأیید میکرد: دستگاههای او واقعاً به این بکدر آلوده بودند. قابل توجه اینکه تمام نسخههای بعدی سیستمعامل برای این مدل نیز آلوده بودند، از جمله نسخههای منتشرشده پس از بیانیه عمومی فروشنده.
باید به سیستمعامل مدل خاص دیگری از همین تبلت توجه ویژهای شود. بخشی از نام این مدل نشاندهنده پشتیبانی از پخش جریانی با کیفیت بالا است. برای دستیابی به این هدف، این دستگاهها باید استاندارد خاصی را تحت سیستم حفاظت از محتوای گوگل رعایت کنند. در نتیجه، محتوای چندرسانهای را در یک محیط اجرای امن پردازش میکنند که خطر دسترسی کدهای غیرمجاز به محتوا را کاهش داده و از کپی غیرمجاز جلوگیری میکند. در حالی که این گواهینامه نتوانست از این دستگاهها در برابر آلودگی محافظت کند، سیستمعامل اولیه این مدل (منتشرشده در نوامبر ۲۰۲۳) تمیز بود - برخلاف سیستمعامل اولیه سایر مدلها. با این حال، هر نسخه بعدی، از جمله آخرین نسخه مورخ مه ۲۰۲۴، حاوی کینادو بود.
در طول تحلیل ما از سیستمعامل دستگاههای این شرکت، کشف کردیم که تمام تصاویر دارای امضای دیجیتال معتبر بودند. این بدان معناست که صرفاً به خطر انداختن یک سرور بهروزرسانی هوایی برای تزریق بکدر به کتابخانه سیستمی کافی نبوده است. مهاجم همچنین باید به کلیدهای خصوصی امضا دسترسی پیدا میکرد که به طور معمول نباید از یک سرور بهروزرسانی قابل دسترسی باشند. در نتیجه، بسیار محتمل است که این بدافزار در مرحله ساخت سیستمعامل ادغام شده است.
علاوه بر این، ما یک کتابخانه ایستا حاوی کد کینادو پیدا کردهایم که فرضیه ما را بیشتر تأیید میکند. این کتابخانه مخرب به زبان سیپلاسپلاس نوشته شده و با استفاده از سیستم ساخت مشخصی کامپایل شده است. جالب اینجاست که کتابخانه مسیرهای مطلق فایل را به کد منبع روی رایانه توسعهدهنده حفظ کرده بود. یک فایل حاوی کد بارگذار و دیگری حاوی پیلود رمزگذاریشده همراه با اطلاعات اندازه آن. نقطه ورود بارگذار تابع خاصی است. مهاجم فراخوانی این تابع را مستقیماً در پیادهسازی متد اصلی قرار داده بود.
بر اساس اطلاعات ما، وابستگی مخرب در مخزن کد منبع سیستمعامل در مسیرهای مشخصی قرار داشت. جالب اینجاست که بدافزار درون کتابخانه سیستمی، پیلود را رمزگشایی کرده و روی دیسک در مسیری مینویسد که احتمالاً مهاجم سعی کرده وابستگی مخرب را به عنوان یک جزء بهظاهر قانونی حاوی کد اختصاصی از یک شرکت دیگر جا بزند. در حقیقت، چنین جزئی در محصولات آن شرکت وجود ندارد. در نهایت، بر اساس اطلاعات بدست آمده، این بدافزار نه تنها در دستگاههای یک برند خاص، بلکه در سختافزار سایر تولیدکنندگان نیز یافت میشود. در تمام موارد، بکدر در سیستمعامل تبلتها جاسازی شده است. ما این فروشندگان را از نفوذ مطلع کردهایم.
بر اساس شواهد ارائهشده در بالا، معتقدیم که Keenadu در نتیجه یک حمله به زنجیره تأمین، در سیستمعامل دستگاههای اندرویدی ادغام شده است. یکی از مراحل زنجیره تأمین سیستمعامل به خطر افتاده و منجر به گنجانده شدن یک وابستگی مخرب در کد منبع شده است. در نتیجه، فروشندگان ممکن است پیش از عرضه به بازار از آلوده بودن دستگاههای خود بیخبر بوده باشند.
ماژولهای بکدر Keenadu
همانطور که پیشتر اشاره شد، معماری ذاتی کینادو به مهاجمان امکان میدهد تا کنترل تقریباً نامحدودی روی دستگاه قربانی به دست آورند. برای درک اینکه آنها دقیقاً چگونه از این قابلیت بهره برداری میکنند، پیلودهای دانلودی این بکدر را تحلیل کردیم. برای این کار، درخواستی به سرور فرماندهی ارسال کردیم و خود را به عنوان یک دستگاه آلوده جا زدیم. در ابتدا، سرور فرماندهی هیچ فایلی ارسال نکرد؛ در عوض، یک برچسب زمانی برای بررسی بعدی برگرداند که ۲.۵ ماه پس از درخواست اولیه برنامهریزی شده بود. از طریق تحلیل جعبه سیاه سرور فرماندهی، متوجه شدیم که درخواست شامل زمان فعالسازی بکدر است؛ اگر ۲.۵ ماه از آن لحظه نگذشته باشد، سرور هیچ پیلودهای ارسال نمیکند. این احتمالاً تکنیکی است برای پیچیدهتر کردن تحلیل و به حداقل رساندن احتمال کشف این پیلودها.
وقتی زمان فعالسازی را در درخواست خود به تاریخی به اندازه کافی دور در گذشته تغییر دادیم، سرور فرماندهی لیست پیلودها را برای تحلیل برگرداند. سرور مهاجم اطلاعات مربوط به پیلودها را به عنوان یک آرایه از اشیاء ارسال میکند. هر شیء حاوی یک لینک دانلود برای پیلود، هش آن، نام بستههای برنامه هدف، نام فرآیندهای هدف و سایر اطلاعات است. نکته قابل توجه اینکه مهاجمان یک سرویس ابری معروف را به عنوان شبکه توزیع محتوا انتخاب کرده بودند. فایلهای دانلود شده توسط کینادو از یک قالب اختصاصی برای ذخیره پیلود رمزگذاریشده و پیکربندی آن استفاده میکنند.
پس از دانلود، کینادو یکپارچگی فایل را با استفاده از الگوریتم چکیدهساز تأیید میکند. سازندگان بدافزار همچنین یک مکانیسم امضای کد را با استفاده از الگوریتم خاصی پیادهسازی کردهاند. امضا قبل از رمزگشایی و اجرای پیلود تأیید میشود. این تضمین میکند که فقط مهاجمی که در اختیار داشتن کلید خصوصی است میتواند پیلودهای مخرب تولید کند. پس از تأیید موفقیتآمیز، پیکربندی و ماژول مخرب با استفاده از الگوریتم خاصی در حالت مشخص رمزگشایی میشوند. پس از تشریح الگوریتم بکدر برای بارگذاری ماژولهای مخرب، اکنون به تحلیل آنها میپردازیم.
لودر کینادو
این ماژول فروشگاههای آنلاین محبوب با نامهای بسته مشخصی را هدف قرار میدهد. نقطه ورود، متد شروع یک کلاس خاص است. این کلاس یک وظیفه مخرب به نام HsTask را آغاز میکند که در مفهوم شبیه سرور، یک لودر است. هنگام اجرا، بارگذار اطلاعات فراداده دستگاه قربانی (مدل، شناسههای دستگاه، آدرس مک، نسخه سیستمعامل و غیره) و همچنین اطلاعات مربوط به برنامه خاصی را که در آن اجرا میشود جمعآوری میکند. دادههای جمعآوریشده با همان روش درخواستهای سرور کدگذاری میشود. پس از کدگذاری، لودر دادهها را از طریق یک درخواست اینترنتی به سرور فرماندهی در مسیر مشخصی ارسال میکند.
در پاسخ، سرور مهاجمان لیستی از ماژولها برای دانلود و اجرا و همچنین لیستی از فایلهای نصبی برای نصب روی دستگاه قربانی برمیگرداند. جالب اینجاست که در نسخههای جدیدتر اندروید، تحویل این فایلهای نصبی از طریق نشستهای نصب پیادهسازی میشود. این احتمالاً تلاشی از سوی بدافزار برای دور زدن محدودیتهای اعمالشده در نسخههای اخیر سیستمعامل است که از دسترسی برنامههای نصبشده از منابع ناشناس به مجوزهای حساس - به طور خاص سرویسهای دسترسی - جلوگیری میکند.
متأسفانه، در طول تحقیقات خود، نتوانستیم نمونههایی از ماژولها و فایلهای نصبی خاصی را که این لودر دانلود میکند به دست آوریم. با این حال، کاربران آنلاین گزارش دادهاند که تبلتهای آلوده بدون اطلاع کاربر، آیتمهایی را به سبد خرید فروشگاههای اینترنتی اضافه میکردند.
لودر کلیکر
این ماژولها به برنامههای زیر تزریق میشوند: والپیپر، یوتیوب، فیسبوک، سلامتی دیجیتال و لانچر سیستم. هنگام اجرا، ماژول مخرب موقعیت مکانی و آدرس آیپی دستگاه را با استفاده از یک سرویس شناسایی موقعیت مکانی که روی سرور فرماندهی مهاجمان مستقر شده است، دریافت میکند. این دادهها، همراه با نوع اتصال شبکه و نسخه سیستمعامل، به سرور فرماندهی ارسال میشود. در پاسخ، سرور یک فایل با قالب خاص حاوی یک شیء رمزگذاریشده با اطلاعات پیلود و همچنین یک کلید برای رمزگشایی برمیگرداند. شیء رمزگشاییشده شامل آرایهای از اشیاء حاوی لینکهای دانلود برای پیلودها و نقاط ورود مربوط به آنهاست. خود پیلودها نیز با همان منطق رمزگذاری میشوند.
در طول تحقیقات، ما چندین پیلود به دست آوردیم که هدف اصلی آنها تعامل با عناصر تبلیغاتی در وبسایتهای مختلف با موضوعات گوناگون بود. هر ماژول خاص با یک وبسایت مشخص که آدرس آن در کد منبعش ثابت تعریف شده، تعامل میکند.
ماژول گوگل کروم
این ماژول مرورگر گوگل کروم را هدف قرار میدهد. در آغاز اجرا، یک کنترلگر برای رویدادهای چرخه حیات فعالیتها ثبت میکند. هرگاه فعالیتی درون برنامه هدف راهاندازی شود، این کنترلگر نام آن را بررسی میکند. اگر نام با رشته "ChromeTabbedActivity" مطابقت داشته باشد، بدافزار به دنبال فیلد ورود متن (مربوط به جستجو و آدرسها) میگردد.
اگر این عنصر یافت شود، بدافزار تغییرات متن درون آن را نظارت میکند. تمام عبارتهای جستجوی واردشده توسط کاربر به سرور مهاجمان ارسال میشود. علاوه بر این، پس از اتمام تایپ عبارت توسط کاربر، بدافزار میتواند درخواست جستجو را ربوده و بسته به پیکربندی دریافتشده از سرور فرماندهی، آن را به موتور جستجوی دیگری هدایت کند. قابل ذکر است که تلاش برای ربایش ممکن است اگر کاربر عبارتی را از پیشنهادهای تکمیل خودکار انتخاب کند، شکست بخورد؛ در این سناریو، کاربر کلید اینتر را نمیزند یا دکمه جستجو را لمس نمیکند که این نشانهای برای فعالسازی بازهدایت توسط بدافزار است. اما مهاجمان این را نیز پیشبینی کرده بودند. بدافزار سعی میکند عنصر حاوی پیشنهادهای جستجو را درون فعالیت جاری بیابد، که یک گروه نمای شامل پیشنهادهای جستجو است. بدافزار لمسهای روی این پیشنهادها را نظارت کرده و بدون توجه به آن، موتور جستجو را بازهدایت میکند.
کلیکر نوا
نسخه اولیه این ماژول یک کلیکر بود که درون انتخابگر والپیپر سیستم جاسازی شده بود. محققان یک شرکت امنیتی دیگر همزمان با تحقیق ما آن را کشف کردند؛ با این حال، گزارش آنها به بردار توزیع این کلیکر از طریق بکدر کینادو اشاره نکرد. این ماژول از یادگیری ماشین و فناوری ارتباط بلادرنگ وب برای تعامل با عناصر تبلیغاتی استفاده میکند. در حالی که همکاران ما در آن شرکت آن را فانتوم نامیدند، سرور فرماندهی آن را نوا میخواند. همچنین وظیفه اجراشده درون کد نیز نوا نام دارد. بر این اساس، ما معتقدیم نام اصلی این کلیکر نوا است.
همچنین قابل ذکر است که اندکی پس از انتشار گزارش درباره این کلیکر، سرور فرماندهی کینادو شروع به حذف آن از دستگاههای آلوده کرد. این احتمالاً یک حرکت استراتژیک از سوی مهاجمان برای جلوگیری از شناسایی بیشتر است. جالب اینجاست که در درخواست حذف، ماژول نوا با نام کمی متفاوت ظاهر شد. ما معتقدیم این نام جدید، آخرین نسخه ماژول را پنهان میکند که به عنوان یک بارگذار عمل کرده و قادر به دانلود اجزای زیر است:
- کلیکر نوا
- یک ماژول جاسوسی که انواع اطلاعات دستگاه قربانی را به سرور مهاجمان ارسال میکند
- یک بارگذار چندمرحلهای که دو کلیکر دیگر را راهاندازی میکند
کسب درآمد از نصب
یک ماژول درون لانچر سیستم جاسازی شده است. موقعراهاندازی، محیط را از نظر نشانههای ماشین مجازی بررسی میکند. اگر چیزی یافت نشود، بدافزار یک کنترلگر رویداد برای نصب برنامههای مبتنی بر نشست ثبت میکند. وقتی نصب یک برنامه روی دستگاه آغاز میشود، بدافزار اطلاعات آن برنامه را به سرور فرماندهی ارسال میکند. در پاسخ، سرور اطلاعاتی درباره تبلیغ خاصی که برای معرفی آن برنامه استفاده شده است، ارائه میدهد. برای هر نشست نصب موفق، بدافزار درخواستهایی به آدرسهای مشخصی ارسال میکند. بر اساس کد منبع، این آدرسها به عنوان الگوهایی عمل میکنند که شناسههای مختلف تبلیغاتی در آنها جایگذاری میشود. مهاجمان به احتمال زیاد از این روش برای کسب درآمد از نصب برنامهها استفاده میکنند. بدافزار با شبیهسازی ترافیک از دستگاه قربانی، پلتفرمهای تبلیغاتی را فریب میدهد تا باور کنند برنامه از طریق یک کلیک تبلیغاتی قانونی نصب شده است.
ماژول گوگل پلی
اگرچه کلاینت در صورت تزریق به فرآیند گوگل پلی خاموش میشود، سرور فرماندهی یک محموله برای آن در اختیار ما قرار داد. این ماژول شناسه تبلیغاتی گوگل را بازیابی کرده و آن را از طریق یک نمونه سراسری ذخیره میکند. متعاقباً، سایر ماژولها ممکن است از این مقدار به عنوان شناسه قربانی استفاده کنند.
سایر بردارهای توزیع Keenadu
در طول تحقیقات، تصمیم گرفتیم به دنبال منابع جایگزین آلودگی به کینادو بگردیم. ما کشف کردیم که چندین ماژول ذکر شده در بالا در حملاتی ظاهر شدهاند که به نفوذ به کتابخانه سیستمی مرتبط نبودند. در زیر جزئیات این بردارهای جایگزین آورده شده است.
برنامههای سیستمی
بر اساس اطلاعات ما، لودر Keenadu درون برنامههای سیستمی مختلف در سیستمعامل چندین دستگاه یافت شد. یکی از این برنامهها یک سرویس تشخیص چهره بود. این برنامه شامل مجموعهای از مدلهای یادگیری ماشین آموزشدیده است که برای تشخیص چهره - به طور خاص برای مجوزدهی به کاربران از طریق تشخیص چهره - استفاده میشود. برای تسهیل این امر، برنامه سرویسی تعریف میکند که رابط کاربری سیستم برای باز کردن قفل دستگاه از آن استفاده میکند.
درون متود ایجاد این سرویس که موقع ایجاد آن سرویس فعال میشود، سه گیرنده ثبت میشوند. این گیرندهها رویدادهای روشن/خاموش شدن صفحه، شروع شارژ و در دسترس بودن دسترسی به شبکه را نظارت میکنند. هر یک از این گیرندهها متدی را فراخوانی میکنند که هدف اصلی آن مقداردهی اولیه بارگذار مخرب است. این لودر یک نسخه کمی تغییر یافته از بارگذار کینادو است. این نسخه خاص از یک کتابخانه بومی برای بارگذاری ماژولها و تسهیل نصب برنامهها استفاده میکند. برای این منظور، کتابخانه متدهای بومی متناظری را درون یک کلاس خاص تعریف میکند. این بردار حمله خاص - جاسازی یک بارگذار درون برنامههای سیستمی - ذاتاً جدید نیست. ما قبلاً موارد مشابهی را مستند کردهایم. با این حال، این اولین بار است که با بدافزاری جاسازیشده درون یک سرویس تشخیص چهره مواجه میشویم.
علاوه بر سرویس تشخیص چهره، ما سایر برنامههای سیستمی آلوده به لودر کینادو را شناسایی کردیم. این موارد شامل برنامه لانچر روی برخی دستگاهها بود. یک سرویس مخرب درون این برنامهها جاسازی شده بود تا اجرای بدافزار را فعال کند. همچنین لودر کینادو را درون برنامه دیگری کشف کردیم. این برنامه شامل یک کیت توسعه نرمافزار تبلیغاتی بود که پیکربندی خود را از طریق یک درخواست اینترنتی با هدایتگر مجدد پیشفرض غیرفعال بازیابی میکرد. در پاسخ، بدافزار منتظر یک کد هدایتگر مجدد بود که در آن هدر مکان، آدرسی حاوی پیکربندی کیت توسعه را در پارامترهای خود ارائه میداد. یک پارامتر خاص، فعالسازی لودر کینادو را کنترل میکرد: اگر مقدار آن روی ۱ تنظیم میشد، بارگذار درون برنامه مقداردهی اولیه میشد.
بارگذاری از طریق سایر بکدرها
در حین تحلیل اطلاعات خود، با یک نسخه غیرعادی از بارگذار کینادو مواجه شدیم که در پوشههای برنامههای مختلف در حافظه خارجی قرار داشت. بر اساس تحلیل کد، این بارگذار طوری طراحی شده بود که در سیستمی عمل کند که فرآیند اصلی آن از پیش آلوده شده بود. نکته قابل توجه این بود که نام رابطهای بایندر استفادهشده در این نسخه با نامهای استفادهشده توسط سرور متفاوت بود. این همان رابطهای بایندری هستند که توسط بکدر دیگری با ساختار مشابه تعریف میشوند و آن نیز درون کتابخانه سیستمی کشف شده بود. نحوه اجرای این بکدر دیگر روی دستگاههای آلوده به این صورت است: کتابخانه سیستمی، یک تابع مخرب را از کتابخانه دیگری وارد میکند. این تابع درون پیادهسازی متد اصلی یک کلاس فراخوانی میشود. سپس محمولهای جاسازیشده در بدنه کتابخانه را رمزگشایی کرده و آن را در بستر تمام برنامههای دستگاه اجرا میکند. این محموله شباهت زیادی به یک پلتفرم جامع بدافزار دارد که نخستین بار توسط محققان یک شرکت امنیتی توصیف شد. به طور خاص، مسیرهای سرور فرماندهی استفادهشده برای درخواستهای بدافزار مطابقت دارند. این ما را بر آن میدارد که باور کنیم این یک نسخه خاص از آن پلتفرم است.
ما همچنین درون این بکدر، رابطهای بایندری را کشف کردیم که توسط بارگذار کینادوی مذکور استفاده میشدند. این نشان میدهد که آن نمونههای خاص کینادو مستقیماً توسط آن پلتفرم بدافزاری مستقر شده بودند.
تغییرات برنامههای محبوب
متأسفانه، حتی اگر سیستمعامل دستگاه شما حاوی کینادو یا بکدر از پیش نصبشده دیگری نباشد، این بدافزار همچنان تهدیدی برای شما محسوب میشود. کلیکر نوا توسط محققان یک شرکت امنیتی دیگر تقریباً همزمان با تحقیقات ما کشف شد. یافتههای آنها بردار توزیع متفاوتی را برجسته میکند: نسخههای تغییر یافته نرمافزارهای محبوب که عمدتاً از طریق منابع غیررسمی و همچنین برنامههای مختلف موجود در یک فروشگاه خاص توزیع میشوند.
گوگل پلی
برنامههای آلوده موفق شدهاند به گوگل پلی نیز نفوذ کنند. در طول تحقیقات ما، نرمافزارهای بدافزاری برای دوربینهای هوشمند که در فروشگاه رسمی برنامه اندروید منتشر شده بودند، شناسایی کردیم. در مجموع، این برنامهها بیش از ۳۰۰ هزار بار دانلود شده بودند. هر یک از این برنامهها حاوی یک سرویس جاسازیشده بودند که کلیکر نوا را راهاندازی میکرد. ما گوگل را از حضور برنامههای آلوده در فروشگاه خود مطلع کردیم و آنها بدافزار را حذف کردند. جالب اینجاست که در حالی که سرویس مخرب در تمام برنامههای شناساییشده وجود داشت، فقط برای اجرا در یک بسته خاص پیکربندی شده بود.
چهار شگفتانگیز: ارتباط تریادا، بادباکس، ووید و کینادو
پس از کشف این که بادباکس یکی از ماژولهای کینادو را دانلود میکند، تصمیم گرفتیم تحقیقات بیشتری انجام دهیم تا مشخص شود آیا نشانههای دیگری از ارتباط بین این بدافزارها وجود دارد یا خیر. در نتیجه، دریافتیم که بادباکس و کینادو در کد محمولهای که توسط بخش مخرب در کتابخانه سیستمی رمزگشایی و اجرا میشد، شباهتهایی داشتند. همچنین شباهتهایی بین بارگذار کینادو و یک ماژول خاص از بدافزار بادباکس شناسایی کردیم. با توجه به وجود تفاوتهای مشخص در کد و این که بادباکس در حال دانلود بارگذار کینادو بود، معتقدیم اینها باتنتهای جداگانهای هستند و احتمالاً توسعهدهندگان کینادو از کد منبع بادباکس الهام گرفتهاند. علاوه بر این، به نظر میرسد نویسندگان کینادو عمدتاً تبلتهای اندرویدی را هدف قرار میدهند. در گزارش اخیر خود درباره بکدر تریادا، اشاره کردیم که سرور فرماندهی یکی از ماژولهای دانلودی آن در همان دامنه یکی از سرورهای باتنت ووید میزبانی میشد که میتوانست نشاندهنده ارتباط بین آن دو بدافزار باشد. با این حال، در طول تحقیق حاضر، موفق به کشف ارتباطی بین تریادا و باتنت بادباکس نیز شدیم. به نظر میرسد، پوشههایی که بادباکس بارگذار کینادو را در آنها دانلود میکرد، حاوی محمولههای دیگری نیز برای برنامههای مختلف بودند.
شرح آنها نیازمند گزارشی جداگانه است؛ به اختصار، ما به تحلیل یک محموله برای کلاینتهای تلگرام و اینستاگرام اکتفا میکنیم. نقطه ورود این محموله یک کلاس خاص است. این محموله برای سرقت اطلاعات حساب قربانیان در سرویسهای آلوده طراحی شده است. جالب اینجاست که کدی برای سرقت اطلاعات حساب از کلاینت واتساپ نیز در آن وجود دارد، اگرچه فعلاً استفاده نمیشود. آدرسهای سرور فرماندهی که بدافزار برای ارسال اطلاعات دستگاه استفاده میکند، به صورت رمزگذاریشده در کد ذخیره شدهاند. پس از رمزگشایی آدرسها، دامنهای را کشف کردیم که قبلاً در سال ۲۰۲۲ طی تحقیقات خود درباره نسخههای بدافزاری واتساپ حاوی تریادا شناسایی کرده بودیم. در آن زمان، فرض کردیم که بخش کد مسئول سرقت اطلاعات حساب واتساپ و بارگذار مخرب، هر دو به تریادا تعلق دارند. با این حال، از آنجایی که اکنون مشخص کردهایم آن دامنه به بادباکس مرتبط است، معتقدیم نسخههای آلوده واتساپی که در سال ۲۰۲۲ توصیف کردیم، در واقع حاوی دو بدافزار مجزا بودند: تریادا و بادباکس. برای تأیید این فرضیه، یکی از آن نسخهها را مجدداً بررسی کردیم و تأیید شد که حاوی کد هر دو بارگذار تریادا و ماژولی از بادباکس بود که از نظر عملکردی مشابه ماژول توصیفشده در بالا است. اگرچه بدافزارها از همان نقطه ورود راهاندازی میشدند، اما با یکدیگر تعامل نداشتند و ساختارهای کاملاً متفاوتی داشتند. بر این اساس، نتیجه میگیریم آنچه در سال ۲۰۲۲ مشاهده کردیم، یک حمله مشترک توسط عاملان بادباکس و تریادا بود.
این یافتهها نشان میدهد که چندین باتنت بزرگ اندرویدی با یکدیگر در تعامل هستند. در حال حاضر، ما ارتباط بین تریادا، ووید و بادباکس و همچنین ارتباط بین کینادو و بادباکس را تأیید کردهایم. محققان شرکت امنیتی هیومن نیز پیشتر از ارتباط بین ووید و بادباکس گزارش داده بودند. تأکید بر این نکته ضروری است که این ارتباطات لزوماً خاصیت تعدی ندارند. به عنوان مثال، این واقعیت که هر دو تریادا و کینادو به بادباکس مرتبط هستند، به طور خودکار به این معنا نیست که تریادا و کینادو مستقیماً با هم در ارتباطند؛ چنین ادعایی به شواهد جداگانهای نیاز دارد. با این حال، با توجه به چشمانداز فعلی، اگر گزارشهای آینده شواهد لازم برای اثبات تعدی این روابط را ارائه دهند، تعجبآور نخواهد بود.
قربانیان
۱۳۷۱۵ کاربر در سراسر جهان با Keenadu یا ماژولهای آن مواجه شدهاند. راهکارهای امنیتی ما بیشترین تعداد کاربران هدفگرفتهشده توسط این بدافزار را در روسیه، ژاپن، آلمان، برزیل و هلند ثبت کردهاند.
توصیهها
تیم پشتیبانی فنی ما اغلب میپرسد در صورت شناسایی کینادو روی یک دستگاه توسط نرمافزار امنیتی، چه اقداماتی باید انجام شود. در این بخش، تمام سناریوهای ممکن برای مقابله با این بدافزار بررسی میشود.
اگر کتابخانه سیستمی آلوده شده باشد چه؟
نسخههای مدرن اندروید، پارتیشن سیستم را که حاوی کتابخانه سیستمی است، به صورت فقط خواندنی نصب میکنند. حتی اگر به طور فرضی امکان ویرایش این پارتیشن وجود داشته باشد، کتابخانه آلوده را نمیتوان بدون آسیب زدن به سیستمعامل حذف کرد: دستگاه به سادگی بوت نمیشود. بنابراین، حذف این تهدید با استفاده از ابزارهای استاندارد سیستمعامل اندروید غیرممکن است. کار با دستگاهی که به بکدر کینادو آلوده است میتواند با ناراحتیهای قابل توجهی همراه باشد. نقدهای دستگاههای آلوده از تبلیغات مزاحم و صداهای مرموز مختلفی شکایت دارند که منبع آنها قابل شناسایی نیست.
اگر با بکدر Keenaduمواجه شدید، موارد زیر را توصیه میکنیم:
- بهروزرسانیهای نرمافزاری را بررسی کنید. احتمال دارد نسخه پاکی از سیستمعامل برای دستگاه شما منتشر شده باشد. پس از بهروزرسانی، با استفاده از یک راهکار امنیتی مطمئن، برطرف شدن مشکل را تأیید کنید.
- اگر بهروزرسانی پاک سیستمعامل از سوی تولیدکننده برای دستگاه شما وجود ندارد، میتوانید خودتان اقدام به نصب یک سیستمعامل پاک کنید. با این حال، مهم است به خاطر داشته باشید که فلش دستی دستگاه ممکن است آن را از کار بیندازد.
- تا زمانی که سیستمعامل تعویض یا بهروزرسانی نشده است، توصیه میکنیم استفاده از دستگاه آلوده را متوقف کنید.
اگر یکی از برنامههای سیستمی آلوده باشد چه؟
متأسفانه، مانند مورد قبلی، حذف چنین برنامهای از دستگاه ممکن نیست زیرا در پارتیشن سیستم قرار دارد. اگر بارگذار کینادو را در یک برنامه سیستمی یافتید، توصیههای ما به شرح زیر است:
۱ در صورت امکان، جایگزینی برای برنامه پیدا کنید. به عنوان مثال، اگر برنامه لانچر آلوده است، میتوانید هر جایگزینی را که حاوی بدافزار نیست دانلود کنید. اگر جایگزینی برای برنامه وجود ندارد - برای مثال، اگر سرویس تشخیص چهره آلوده است - توصیه میکنیم تا حد امکان از آن قابلیت خاص استفاده نکنید.
۲ اگر جایگزینی پیدا کردهاید یا واقعاً به آن برنامه نیازی ندارید، برنامه آلوده را با استفاده از ابزار adb غیرفعال کنید. این کار با دستور مشخصی امکانپذیر است.
اگر یک برنامه آلوده روی دستگاه نصب شده باشد چه؟
این یکی از سادهترین موارد آلودگی است. اگر یک راهکار امنیتی برنامهای آلوده به کینادو را روی دستگاه شما شناسایی کرده است، به سادگی طبق دستورالعملهایی که راهکار امنیتی ارائه میدهد، آن را حذف کنید.
نتیجهگیری
توسعهدهندگان بکدرهای از پیش نصبشده در سیستمعامل دستگاههای اندرویدی همواره به دلیل سطح بالای تخصص خود متمایز بودهاند. این موضوع همچنان در مورد کینادو صادق است: سازندگان این بدافزار درک عمیقی از معماری اندروید، فرآیند راهاندازی برنامهها و اصول اصلی امنیتی این سیستمعامل دارند. در طول تحقیق، از گستره کمپینهای کینادو شگفتزده شدیم: فراتر از بکدر اصلی در سیستمعامل، ماژولهای آن در برنامههای سیستمی و حتی در برنامههای گوگل پلی یافت شدند. این موضوع این بدافزار را در همان مقیاس تهدیداتی مانند تریادا یا بادباکس قرار میدهد. ظهور یک بکدر جدید از پیش نصبشده با این ابعاد نشان میدهد که این دسته از بدافزارها بازاری مجزا با رقابت قابل توجه هستند.
Keenadu یک پلتفرم بدافزار پیچیده و در مقیاس بزرگ است که کنترل نامحدودی روی دستگاه قربانی در اختیار مهاجمان قرار میدهد. اگرچه ما در حال حاضر نشان دادهایم که این بکدر عمدتاً برای انواع مختلف تقلب تبلیغاتی استفاده میشود، اما رد نمیکنیم که در آینده، این بدافزار راه تریادا را ادامه داده و سرقت اطلاعات حساب کاربری را آغاز کند.
نشانههای خطر!
نشانگرهای اضافی، جزئیات فنی و یک قانون ویژه برای شناسایی فعالیت کینادو برای مشتریان سرویس گزارش اطلاعات تهدید ما در دسترس است.
آرشیوهای مخرب libandroid_runtime.so
bccd56a6b6c9496ff1acd40628edd25e
c4c0e65a5c56038034555ec4a09d3a37
cb9f86c02f756fb9afdb2fe1ad0184ee
f59ad0c8e47228b603efc0ff790d4a0c
f9b740dd08df6c66009b27c618f1e086
02c4c7209b82bbed19b962fb61ad2de3
185220652fbbc266d4fdf3e668c26e59
36db58957342024f9bc1cdecf2f163d6
4964743c742bb899527017b8d06d4eaa
58f282540ab1bd5ccfb632ef0d273654
59aee75ece46962c4eb09de78edaa3fa
8d493346cb84fbbfdb5187ae046ab8d3
9d16a10031cddd222d26fcb5aa88a009
a191b683a9307276f0fc68a2a9253da1
65f290dd99f9113592fba90ea10cb9b3
68990fbc668b3d2cfbefed874bb24711
6d93fb8897bf94b62a56aca31961756a
پیلودهای کینادو
2922df6713f865c9cba3de1fe56849d7
3dae1f297098fa9d9d4ee0335f0aeed3
462a23bc22d06e5662d379b9011d89ff
4c4ca7a2a25dbe15a4a39c11cfef2fb2
5048406d8d0affa80c18f8b1d6d76e21
529632abf8246dfe555153de6ae2a9df
7ceccea499cfd3f9f9981104fc05bcbd
912bc4f756f18049b241934f62bfb06c
98ff5a3b5f2cdf2e8f58f96d70db2875
aa5bf06f0cc5a8a3400e90570fb081b0
ad60f46e724d88af6bcacb8c269ac3c1
dc3d454a7edb683bec75a6a1e28a4877
f0184f6955479d631ea4b1ea0f38a35d
اپهای سیستم که با لودر کینادو آلوده شدند
07546413bdcb0e28eadead4e2b0db59d
0c1f61eeebc4176d533b4fc0a36b9d61
10d8e8765adb1cbe485cb7d7f4df21e4
11eaf02f41b9c93e9b3189aa39059419
19df24591b3d76ad3d0a6f548e608a43
1bfb3edb394d7c018e06ed31c7eea937
1c52e14095f23132719145cf24a2f9dc
21846f602bcabccb00de35d994f153c9
2419583128d7c75e9f0627614c2aa73f
28e6936302f2d290c2fec63ca647f8a6
382764921919868d810a5cf0391ea193
45bf58973111e00e378ee9b7b43b7d2d
56036c2490e63a3e55df4558f7ecf893
64947d3a929e1bb860bf748a15dba57c
69225f41dcae6ddb78a6aa6a3caa82e1
6df8284a4acee337078a6a62a8b65210
6f6e14b4449c0518258beb5a40ad7203
7882796fdae0043153aa75576e5d0b35
7c3e70937da7721dd1243638b467cff1
9ddd621daab4c4bc811b7c1990d7e9ea
a0f775dd99108cb3b76953e25f5cdae4
b841debc5307afc8a4592ea60d64de14
c57de69b401eb58c0aad786531c02c28
ca59e49878bcf2c72b99d15c98323bcd
d07eb2db2621c425bda0f046b736e372
d4be9b2b73e565b1181118cb7f44a102
d9aecc9d4bf1d4b39aa551f3a1bcc6b7
e9bed47953986f90e814ed5ed25b010c
اپهایی که با کلیکر نوا آلوده شدند
0bc94bc4bc4d69705e4f08aaf0e976b3
1276480838340dcbc699d1f32f30a5e9
15fb99660dbd52d66f074eaa4cf1366d
2dca15e9e83bca37817f46b24b00d197
350313656502388947c7cbcd08dc5a95
3e36ffda0a946009cb9059b69c6a6f0d
5b0726d66422f76d8ba4fbb9765c68f6
68b64bf1dea3eb314ce273923b8df510
9195454da9e2cb22a3d58dbbf7982be8
a4a6ff86413b3b2a893627c4cff34399
b163fa76bde53cd80d727d88b7b1d94f
ba0a349f177ffb3e398f8c780d911580
bba23f4b66a0e07f837f2832a8cd3bd4
d6ebc5526e957866c02c938fc01349ee
ec7ab99beb846eec4ecee232ac0b3246
ef119626a3b07f46386e65de312cf151
fcaeadbee39fddc907a3ae0315d86178
CDN پیلود
ubkt1x.oss-us-west-1.aliyuncs[.]com
m-file-us.oss-us-west-1.aliyuncs[.]com
pkg-czu.istaticfiles[.]com
pkgu.istaticfiles[.]com
app-download.cn-wlcb.ufileos[.]com
سرورهای C2
110.34.191[.]81
110.34.191[.]82
67.198.232[.]4
67.198.232[.]187
fbsimg[.]com
tmgstatic[.]com
gbugreport[.]com
aifacecloud[.]com
goaimb[.]com
proczone[.]com
gvvt1[.]com
dllpgd[.]click
fbgraph[.]com
newsroomlabss[.]com
sliidee[.]com
keepgo123[.]com
gsonx[.]com
gmsstatic[.]com
ytimg2[.]com
glogstatic[.]com
gstatic2[.]com
uscelluliar[.]com
playstations[.]click
کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.
