اخیرا بدافزاری در قالب فیلترشکن آمدنیوز منتشر شده که پیامکی حاوی لینک دریافت فایل را به تمامی مخاطبین کاربر ارسال کرده و سپس همه مخاطبین را حذف میکند. اکنون مرکز ماهر به بررسی چگونگی عملکرد این بدافزار پرداخته است.
از اوایل دیماه بدافزاری بین کاربران گوشی های تلفن همراه اندرویدی با عنوان فیلترشکن آمدنیوز منتشر شد. این بدافزار در قالب یک فیلترشکن، پس از اجرا به تمام مخاطبین کاربر پیامکی حاوی لینک دریافت فایل را ارسال و سپس همه مخاطبین را پاک میکرد. پس از انتشار این بدافزار، بسیاری از کاربران آن را اقدامی از سوی نهادهای دولتی دانستند؛ به همین دلیل اکنون مرکز ماهر برای شناخت ماهیت و چگونگی علمکرد فیلترشکن آمدنیوز دست به کار شده و نتایج این بررسی را در قالب یک گزارش به صورت عمومی منتشر کرده است.
اوایل دیماه 1396 و همزمان با فیلتر شدن تلگرام در ایران، لینک یک برنامه اندرویدی از طریق پیامک به بسیاری از کاربران گوشی های تلفن همراه در سراسر کشور ارسال شد. این اپلیکیشن پس از اجرا از سوی کاربر، به تمام مخاطبین وی پیامکی حاوی لینک دریافت فایل را ارسال کرده و سپس همه مخاطبین را حذف میکند. طبق بررسی مرکز ماهر، ساختار و طراحی این اپلیکیشن بسیار ساده و ابتدایی است و غیر از عملکرد گفته شده، هیچ قابلیت دیگری در این برنامه وجود ندارد.
بدافزار فیلترشکن آمدنیوز ارتباطی با نهادهای دولتی ندارد
این بدافزار یا همان فیلترشکن آمدنیوز هیچگونه ارتباط اینترنتی ندارد و قابلیت سرقت اطلاعات و تماس با سرورهای کنترلی نیز در آن دیده نمیشود. لینک ارسالی توسط پیامک بر بستر سرویس ابری شرکت آمازون است که البته اکنون غیرفعال شده و به این ترتیب مرکز ماهر، هرگونه ارتباط این بدافزار با نهادهای دولتی را رد میکند. این فایل، مشخصاتی به صورت زیر دارد:
پس از نصب فیلترشکن آمدنیوز ، برنامهای با عنوان VPNSecure به فهرست اپلیکیشنهای کاربر اضافه میشود. با اجرای این برنامه، پیغام خطای عدم سازگاری برنامه با گوشی شما به نمایش درمیآید و به طور همزمان و بدون دخالت و اطلاع کاربر، پیامکی حاوی لینک دریافت فایل به تمامی مخاطبین وی ارسال میشود. سپس این بدافزار همه مخاطبین را حذف میکند و در همین زمان به مدت 60 ثانیه، گوشی موبایل کاربر به صورت پیوسته بر روی حالت ویبره میرود. پس از آن نیز صفحهای حاوی لوگوی آمدنیوز هر چند ثانیه یک بار بر روی صفحه نمایش گوشی نشان داده میشود.
برای بررسی دقیقتر، نتایج اجرای فیلترشکن آمدنیوز در یکی از سندباکسهای آنلاین مشاهده شد. بررسیهای مرکز ماهر نشان میدهد که این برنامه بر روی سندباکس آنلاین Koodous.com بازگزاری شده است. در تصویر زیر، نتایج این تحلیل داینامیک را مشاهده میکنید:
همچنین تصویر زیر نیز نشان میدهد که این بدافزار هیچگونه فعالیت شبکهای ندارد.
به گزارش مرکز ماهر، مهندسی معکوس برنامه و مطالعه کدهای آن، نتایج تحلیل داینامیک را تایید میکند. عملکرد این برنامه در یک سرویس و دو صفحه activity خلاصه میشود و هیچ رفتار و قابلیت دیگری به غیر از موارد ذکر شده در برنامه پیادهسازی نشده است. عملکرد ارسال لینک به مخاطبین از طریق پیامک، فعالسازی حالت لرزش و حذف مخاطبین در سرویس MyService پیاده شده است.
همچنین مرکز ماهر اعلام کرد در صورت نصب فیلترشکن آمدنیوز و آلودگی به این بدافزار، کافی است از طریق Setting و قسمت apps، اپلیکیشن VPNSecure را متوقف و حذف کنید.
بین دوتا دروغ گو گیر کردیم یکی رسانه های ایرانی که این خبرو منتشر کردن یکی هم امد نیوز که نارنجک دستی اموزش میداد به مردم جفتشون مردمو اذیت میکنن
ببخشیدا وقتی سایفون یا هات اسپات هست چرا بریم سراغ اینا ؟
سوال اصلی اینه چرا ما باید اینقدر بدبخت باشیم که فیلترشکن استفاده کنیم؟!
آمد نیوز یکم زرد، قبول اما اما اما این خبر دروغه
از خبر گزاری ایسنا غیر این هم انتظار نمی رفت!! کذب محضه
آمد نیوز رسانه شدیدا زرد و دوست نداشتنیه، هر کاری ازش بر میاد
اقا گیریم درست مشکل از فیلتر شکن ولی چه چیزی باعث میشه مردم از فیلتر شکن استفاده کنن؟؟
برای گجت نیوز متاسفم که مخاطبینشو چی فرض کرده! یه ذره عقل خوب چیزیه
حتی اسمشم قباحت داره
این بچه بازیا چیه؟!
الان باور کنیم دیگه نه؟
مثلا دوست دارید مردم چی رو باور کنن؟
اینکه آمد نیوز یه بد افزار ساخته و هر از چند ثانیه تاکید میکنه که این کار خودشه نه کسی دیگه
خداوند را سپاس که دشمنان مارا احمق آفرید
مرکز ماهر گفته کار دولتی ها نیست
الان ساخت این بد افزار کار کی میتونه باشه ؟
یعنی بنظرتون منطقیه خود آمد نیوز بیاد همچین بد افزاری بسازه و تازه هر چند ثانیه یبار هم آرم خودش رو رو نشون بده ؟
اگر آمد نیوز بخواد مردم رو اذیت کنه یه بد افزار میسازه و بدون هیچ ردی از خودش منتشرش میکنه
ساخت ساندیس خورهاست دیگه خخخ