اخیرا بدافزاری در قالب فیلترشکن آمدنیوز منتشر شده که پیامکی حاوی لینک دریافت فایل را به تمامی مخاطبین کاربر ارسال کرده و سپس همه مخاطبین را حذف میکند. اکنون مرکز ماهر به بررسی چگونگی عملکرد این بدافزار پرداخته است.
از اوایل دیماه بدافزاری بین کاربران گوشی های تلفن همراه اندرویدی با عنوان فیلترشکن آمدنیوز منتشر شد. این بدافزار در قالب یک فیلترشکن، پس از اجرا به تمام مخاطبین کاربر پیامکی حاوی لینک دریافت فایل را ارسال و سپس همه مخاطبین را پاک میکرد. پس از انتشار این بدافزار، بسیاری از کاربران آن را اقدامی از سوی نهادهای دولتی دانستند؛ به همین دلیل اکنون مرکز ماهر برای شناخت ماهیت و چگونگی علمکرد فیلترشکن آمدنیوز دست به کار شده و نتایج این بررسی را در قالب یک گزارش به صورت عمومی منتشر کرده است.
اوایل دیماه 1396 و همزمان با فیلتر شدن تلگرام در ایران، لینک یک برنامه اندرویدی از طریق پیامک به بسیاری از کاربران گوشی های تلفن همراه در سراسر کشور ارسال شد. این اپلیکیشن پس از اجرا از سوی کاربر، به تمام مخاطبین وی پیامکی حاوی لینک دریافت فایل را ارسال کرده و سپس همه مخاطبین را حذف میکند. طبق بررسی مرکز ماهر، ساختار و طراحی این اپلیکیشن بسیار ساده و ابتدایی است و غیر از عملکرد گفته شده، هیچ قابلیت دیگری در این برنامه وجود ندارد.
بدافزار فیلترشکن آمدنیوز ارتباطی با نهادهای دولتی ندارد
این بدافزار یا همان فیلترشکن آمدنیوز هیچگونه ارتباط اینترنتی ندارد و قابلیت سرقت اطلاعات و تماس با سرورهای کنترلی نیز در آن دیده نمیشود. لینک ارسالی توسط پیامک بر بستر سرویس ابری شرکت آمازون است که البته اکنون غیرفعال شده و به این ترتیب مرکز ماهر، هرگونه ارتباط این بدافزار با نهادهای دولتی را رد میکند. این فایل، مشخصاتی به صورت زیر دارد:
پس از نصب فیلترشکن آمدنیوز ، برنامهای با عنوان VPNSecure به فهرست اپلیکیشنهای کاربر اضافه میشود. با اجرای این برنامه، پیغام خطای عدم سازگاری برنامه با گوشی شما به نمایش درمیآید و به طور همزمان و بدون دخالت و اطلاع کاربر، پیامکی حاوی لینک دریافت فایل به تمامی مخاطبین وی ارسال میشود. سپس این بدافزار همه مخاطبین را حذف میکند و در همین زمان به مدت 60 ثانیه، گوشی موبایل کاربر به صورت پیوسته بر روی حالت ویبره میرود. پس از آن نیز صفحهای حاوی لوگوی آمدنیوز هر چند ثانیه یک بار بر روی صفحه نمایش گوشی نشان داده میشود.
برای بررسی دقیقتر، نتایج اجرای فیلترشکن آمدنیوز در یکی از سندباکسهای آنلاین مشاهده شد. بررسیهای مرکز ماهر نشان میدهد که این برنامه بر روی سندباکس آنلاین Koodous.com بازگزاری شده است. در تصویر زیر، نتایج این تحلیل داینامیک را مشاهده میکنید:
همچنین تصویر زیر نیز نشان میدهد که این بدافزار هیچگونه فعالیت شبکهای ندارد.
به گزارش مرکز ماهر، مهندسی معکوس برنامه و مطالعه کدهای آن، نتایج تحلیل داینامیک را تایید میکند. عملکرد این برنامه در یک سرویس و دو صفحه activity خلاصه میشود و هیچ رفتار و قابلیت دیگری به غیر از موارد ذکر شده در برنامه پیادهسازی نشده است. عملکرد ارسال لینک به مخاطبین از طریق پیامک، فعالسازی حالت لرزش و حذف مخاطبین در سرویس MyService پیاده شده است.
همچنین مرکز ماهر اعلام کرد در صورت نصب فیلترشکن آمدنیوز و آلودگی به این بدافزار، کافی است از طریق Setting و قسمت apps، اپلیکیشن VPNSecure را متوقف و حذف کنید.