سلام
متاسفانه این روزها شاهد این هستیم که یک سری از سو استفاده گرها با روش های متعددی دنبال این هستند که اطلاعات کاربران رو سرقت کنند.
یکی از این روش ها اپلیکیشن های اندرویدی هستند که ناآگاهی مردم و کاربران رو نشانه گرفتند.
اپلیکیشن اپ پی وی رو نصب کن و چت های بقیه رو بخون این روزها داخل گروه های تلگرامی درحال انتشار هست و با عنوان فریب دهنده ای که انتخاب شده، کاربران را ترغیب به نصب می کند.
به بررسی این اپلیکیشن پرداختم تا یه مقدار بهتر بشناسیم و اینکه بدونیم هر اپلیکیشنی را نباید نصب کنیم.
در مرحله اول با یک اسکن همه چیز عادیست.
حجم این اپلیکیشن 6.76 MB هست اسامی که برای این اپلیکیشن اسامی زیر انتخاب شده :
106808528.apk
18971----Pv.apk
18841----Pv.apk
18801----Pv.apk
18770----Pv.apk
18744----Pv.apk
18710----Pv.apk
18691----Pv.apk
654585031.apk
18036----Pv.apk
17955----Pv.apk
17904----Pv.apk
101434296.apk
17768----Pv.apk
17713----Pv.apk
17654----Pv.apk
237460900.apk
17556----Pv.apk
17506----Pv.apk
17463----Pv.apk
17424----Pv.apk
70335399.apk
535638475.apk
698417157.apk
342001783.apk
385156976.apk
110590360.apk
BQADBAAD6wUAAiyuKFBiA0kcgnNxQAI
340404311.apk
146737494.apk
509352236.apk
155308022.apk
524606514.apk
443442291.apk
BQADBAAD6wUAAiyuKFAg0jdu00_lQQI
286821469.apk
663603817.apk
391685301.apk
13945----Pv.apk
13930----Pv.apk
13892----Pv.apk
511466802.apk
424764771.apk
1933029----Pv.apk
1932939----Pv.apk
1932670----Pv.apk
439378----Pv.apk
439372----Pv.apk
439350----Pv.apk
556571251.apk
439342----Pv.apk
439338----Pv.apk
12170----Pv.apk
12141----Pv.apk
12100----Pv.apk
12078----Pv.apk
12054----Pv.apk
12026----Pv.apk
12006----Pv.apk
11986----Pv.apk
11967----Pv.apk
11936----Pv.apk
11587----Pv.apk
11564----Pv.apk
11542----Pv.apk
11526----Pv.apk
11495----Pv.apk
11480----Pv.apk
11466----Pv.apk
11453----Pv.apk
104493310.apk
11410----Pv.apk
10803----Pv.apk
10795----Pv.apk
10784----Pv.apk
10774----Pv.apk
10763----Pv.apk
10746----Pv.apk
10728----Pv.apk
10716----Pv.apk
10701----Pv.apk
10683----Pv.apk
10665----Pv.apk
10656----Pv.apk
10641----Pv.apk
BQADBAAD6wUAAiyuKFD0rzZ6xUXt-wI
10603----Pv.apk
10580----Pv.apk
10562----Pv.apk
536771624.apk
180697494.apk
1889238-Pv.apk
1298529-Pv.apk
1889195-Pv.apk
1298527-Pv.apk
1889125-Pv.apk
1298521-Pv.apk
1298517-Pv.apk
1888945-Pv.apk
1888873-Pv.apk
دسترسی هایی که از کاربر دریافت می کند :
android.permission.INTERNET
android.permission.RECEIVE_SMS
android.permission.WRITE_EXTERNAL_STORAGE
com.karansew.pv.permission.C2D_MESSAGE
com.htc.launcher.permission.UPDATE_SHORTCUT
android.permission.RECEIVE_BOOT_COMPLETED
android.permission.ACCESS_NETWORK_STATE
android.permission.VIBRATE
android.permission.WAKE_LOCK
android.permission.READ_APP_BADGE
com.anddoes.launcher.permission.UPDATE_COUNT
com.google.android.c2dm.permission.RECEIVE
com.htc.launcher.permission.READ_SETTINGS
android.permission.ACCESS_WIFI_STATE
com.huawei.android.launcher.permission.CHANGE_BADGE
com.huawei.android.launcher.permission.READ_SETTINGS
com.huawei.android.launcher.permission.WRITE_SETTINGS
android.permission.READ_EXTERNAL_STORAGE
com.majeur.launcher.permission.UPDATE_BADGE
com.oppo.launcher.permission.READ_SETTINGS
com.oppo.launcher.permission.WRITE_SETTINGS
com.sec.android.provider.badge.permission.READ
com.sec.android.provider.badge.permission.WRITE
com.sonyericsson.home.permission.BROADCAST_BADGE
com.sonymobile.home.permission.PROVIDER_INSERT_BADGE
me.everything.badger.permission.BADGE_COUNT_READ
me.everything.badger.permission.BADGE_COUNT_WRITE
از سرورهای زیر استفاده می کند :
http://api.mono.ir/<br/>http://log.api.mono.ir:12391/<br/>http://m1.log.api.mono.ir:12391/<br/>http://mirror1.harsobh.com/
برای اینکه این قضیه لو نره و همه چیز طبیعی جلوه داده بشه از یک وب سایتی با دامنه
http://www.charkhoneh.com/
استفاده شده که هنوز این وب سایت به روز رسانی نشده است.
سرور
https://api.mono.ir/
سایت اصلی :
https://mono.ir/
که برای چندین مورد از این دست اپلیکیشن ها استفاده شده ، مورد استفاده است.
این اطلاعات اولیه برای این اپلیکیشنی هست که هم چنان هیچ منفعتی برای ما ندارد و چیزی جز سرقت اطلاعات کاربران مثل : مخاطبین،SMS، لوکیشن و ....
اخطار :
یعنی این فایل شامل یک یا چند مورد Payload یا دستوراتی که به راحتی دسترسی گرفته و از طریق سیستم عامل لینوکس کنترل میشود. ( دقیقا همان چیزی که مورد نظر فرد مهاجم هست )
عکس زیر یک ارتباط گرافی از وضعیت این اپلیکیشن هست و گویای وضعیت هست.
دریافت اطلاعات از کاربر که با گرفتن دسترسی هایی که تعریف شده که باز این مورد با خواست خود کاربر به نفوذگر داده می شود از اصلی ترین هدف های این اپ ها هست، دریافت اطلاعات و ارسال به سرورهایی که تعریف شدن ، فعالیت اصلی این اپلیکیشن ها است.
لطفا مقداری دقت کنیم و بهتر مدیریت کنیم.
رضا دهقان
