فیلترشکن آمدنیوز ؛ بررسی بدافزاری که مخاطبین کاربران را پاک می‌کند

اخیرا بدافزاری در قالب فیلترشکن آمدنیوز منتشر شده که پیامکی حاوی لینک دریافت فایل را به تمامی مخاطبین کاربر ارسال کرده و سپس همه مخاطبین را حذف می‌کند. اکنون مرکز ماهر به بررسی چگونگی عملکرد این بدافزار پرداخته است.

از اوایل دی‌ماه بدافزاری بین کاربران گوشی های تلفن همراه اندرویدی با عنوان فیلترشکن آمدنیوز منتشر شد. این بدافزار در قالب یک فیلترشکن، پس از اجرا به تمام مخاطبین کاربر پیامکی حاوی لینک دریافت فایل را ارسال و سپس همه مخاطبین را پاک می‌کرد. پس از انتشار این بدافزار، بسیاری از کاربران آن را اقدامی از سوی نهادهای دولتی دانستند؛ به همین دلیل اکنون مرکز ماهر برای شناخت ماهیت و چگونگی علمکرد فیلترشکن آمدنیوز دست به کار شده و نتایج این بررسی را در قالب یک گزارش به صورت عمومی منتشر کرده است.

اوایل دی‌ماه 1396 و همزمان با فیلتر شدن تلگرام در ایران، لینک یک برنامه اندرویدی از طریق پیامک به بسیاری از کاربران گوشی های تلفن همراه در سراسر کشور ارسال شد. این اپلیکیشن پس از اجرا از سوی کاربر، به تمام مخاطبین وی پیامکی حاوی لینک دریافت فایل را ارسال کرده و سپس همه مخاطبین را حذف می‌کند. طبق بررسی مرکز ماهر، ساختار و طراحی این اپلیکیشن بسیار ساده و ابتدایی است و غیر از عملکرد گفته شده، هیچ قابلیت دیگری در این برنامه وجود ندارد.

بدافزار فیلترشکن آمدنیوز ارتباطی با نهادهای دولتی ندارد

این بدافزار یا همان فیلترشکن آمدنیوز هیچ‌گونه ارتباط اینترنتی ندارد و قابلیت سرقت اطلاعات و تماس با سرورهای کنترلی نیز در‌ آن دیده نمی‌شود. لینک ارسالی توسط پیامک بر بستر سرویس ابری شرکت آمازون است که البته اکنون غیرفعال شده و به این ترتیب مرکز ماهر، هرگونه ارتباط این بدافزار با نهادهای دولتی را رد می‌کند. این فایل، مشخصاتی به صورت زیر دارد:

پس از نصب فیلترشکن آمدنیوز ، برنامه‌ای با عنوان VPNSecure به فهرست اپلیکیشن‌های کاربر اضافه می‌شود. با اجرای این برنامه، پیغام خطای عدم سازگاری برنامه با گوشی شما به نمایش درمی‌آید و به طور همزمان و بدون دخالت و اطلاع کاربر، پیامکی حاوی لینک دریافت فایل به تمامی مخاطبین وی ارسال می‌شود. سپس این بدافزار همه مخاطبین را حذف می‌کند و در همین زمان به مدت 60 ثانیه، گوشی موبایل کاربر به صورت پیوسته بر روی حالت ویبره می‌رود. پس از آن نیز صفحه‌ای حاوی لوگوی آمدنیوز هر چند ثانیه یک بار بر روی صفحه نمایش گوشی نشان داده می‌شود.

برای بررسی دقیق‌تر، نتایج اجرای فیلترشکن آمدنیوز در یکی از سندباکس‌های آنلاین مشاهده شد. بررسی‌های مرکز ماهر نشان می‌دهد که این برنامه بر روی سندباکس آنلاین Koodous.com بازگزاری شده است. در تصویر زیر، نتایج این تحلیل داینامیک را مشاهده می‌کنید:

همچنین تصویر زیر نیز نشان می‌دهد که این بدافزار هیچ‌گونه فعالیت شبکه‌ای ندارد.

به گزارش مرکز ماهر، مهندسی معکوس برنامه و مطالعه کدهای آن، نتایج تحلیل داینامیک را تایید می‌کند. عملکرد این برنامه در یک سرویس و دو صفحه activity خلاصه می‌شود و هیچ رفتار و قابلیت دیگری به غیر از موارد ذکر شده در برنامه پیاده‌سازی نشده است. عملکرد ارسال لینک به مخاطبین از طریق پیامک، فعال‌سازی حالت لرزش و حذف مخاطبین در سرویس MyService پیاده شده است.

همچنین مرکز ماهر اعلام کرد در صورت نصب فیلترشکن آمدنیوز و آلودگی به این بدافزار، کافی است از طریق Setting و قسمت apps، اپلیکیشن VPNSecure را متوقف و حذف کنید.