کمپین انتشار بدافزار سارق اطلاعات بانکی با نام «سیدا»، در روزهای باقی‌مانده تا شروع سال تحصیلی جدید

پژوهشگران امنیتی تیم تاکیان، طی روزهای منتهی به آغاز سال تحصیلی جدید نمونه‌ای از یک بستهٔ نصب اندرویدی با نام «سیدا» را شناسایی کردند که دارای چندین نشان‌گر خطر امنیتی است. تحلیل ایستا نشان می‌دهد این اپ شامل ارجاع‌هایی به توابع مرتبط با اطلاعات سیم‌کارت، قابلیت بارگذاری دینامیک کد (DexClassLoader) و چندین SDK تبلیغاتی است. ترکیب این ویژگی‌ها، همراه با حجم زیاد فایل‌های داخلی نامرتبط، این برنامه را به شدت مشکوک می‌سازد و می‌تواند تهدیدی برای حریم خصوصی و اطلاعات حساس کاربران باشد. لذا به والدین، دانش‌آموزان و کاربران به‌شدت توصیه می‌شوند از دانلود یا نصب هرگونه اپ غیررسمی و لینک‌های ناشناس خودداری کنند.  در صورت نصب اپ «سیدا» یا مشاهدهٔ رفتار مشکوک (ارسال پیامک‌های نامتعارف، مصرف بالای دیتای پس‌زمینه، درخواست مجوزهای حساس) بلافاصله دسترسی تلفن همراه به اینترنت را قطع نموده، اپ را حذف و با بانک و تیم امنیتی تماس بگیرند.

این نرم افزار سعی دارد با سواستفاده از نام سامانه اینترنتی  سیدا (سامانه یکپارچه دانش آموزی) به ادرس https://sida.medu.ir  اقدام به انتشار بدافزار در شبکه های اجتماعی شاد نمایند. لذا با ارسال پیام های مختلف در این شبکه اجتماعی (با نام های کاربری مختلف از جمله @sfgsdfgsfdg مدیریت آموزش) با ادبیات تطمیع کننده و تحریک والدین به نصب این بدافزار، سعی در انتشار گسترده آن دارند.

 

هشدار عملی برای خانواده‌ها:

• نصب نکنید: از نصب اپ از منابع غیررسمی (لینک‌های پیام‌رسان، وب‌سایت‌های نامعتبر یا فایل‌های ارسالی) جداً خودداری کنید.
• اگر نصب کردید: فوراً دستگاه را از شبکه Wi‑Fi و دیتا جدا کنید، از اطلاعات ضروری نسخه پشتیبان امن تهیه کنید، و دستگاه را برای بررسی به یک مرکز قابل‌اعتماد بسپارید یا پس از گرفتن پشتیبان ایمن، اقدام به Factory Reset کنید.
• رمزهای بانکی و کارت: در صورت نصب اپ روی دستگاه، سریعاً رمزهای عبور حساب‌های بانکی و پین‌های مرتبط را تغییر دهید و تراکنش‌های بانکی اخیر را زیر نظر داشته باشید. در صورت هر تراکنش مشکوک، به بانک و مراجع قضایی اطلاع دهید.
• استفاده از ضدبدافزار: از یک برنامه امنیتی موبایل معتبر و به‌روز برای اسکن استفاده کنید، هرچند که برخی از ابزارهای پَکر تشخیص این نوع بدافزارها را دشوار می‌کنند.
• قبل از نصب، مجوزها (Permissions) را بررسی کنید: اپ‌هایی که بدون دلیل به SMS، مخاطبین، دوربین یا دسترسی مدیریت دستگاه نیاز دارند مشکوک‌ هستند و در نصب آنها تردید داشته باشید.

 

توضیحات برای تیم‌های فنی:

این اپ در نسخ مختلف (فعلا نسخه SIDA-v8453.apk و نسخه SIDA-v9655.apk ) در سرویس‌های بررسی نمونه نیز گزارش شده و تحلیل اولیه نشان می‌دهد بخش‌هایی از آن محافظت (packed/obfuscated) شده‌اند. به عبارت دیگر بسیاری از بخش‌ها در زمان اجرا رمزگشایی می‌شوند و امکان بررسی مستقیم ایستا را دشوار می‌سازند. افزون بر این، فایل شامل ماژول‌های نیتیو در بخش assets است که ممکن است رفتار حساس را در سطح باینری اجرا کنند.

• اندازه فایل ها: تقریباً 7.5 مگابایت. بسیاری از ورودی‌های داخل APK با فلگ «encrypted» در ZIP ذخیره شده‌اند؛ این نشانه‌ای از به‌کارگیری پَکر/محافظ است که کد واقعی را هنگام اجرا رمزگشایی می‌کند.
• گواهی امضا: فایل شامل گواهی X.509 در META-INF بود که مشخصات subject استخراج‌شده شامل Country=IR, CN=Manager, O=Naja, givenName=Neda, surname=Mousavi,email=این آدرس ایمیل توسط spambots حفاظت می شود. برای دیدن شما نیاز به جاوا اسکریپت دارید  و همچنین C:IR, CN:Manager, O:Naja, GN:Reza, serialNumber:8521454522, SN:Mousavi, email:این آدرس ایمیل توسط spambots حفاظت می شود. برای دیدن شما نیاز به جاوا اسکریپت داریداست (این داده صرفاً از خود فایل استخراج شده و تأیید رسمی منبع را به‌معنی حقیقی نشان نمی‌دهد).
• تحلیل ایستا محدود: به دلیل پَکینگ، فهرست کامل permissions و کد Dalvik قابل استخراج مستقیم نبود؛ برای تعیین دقیقِ عملکردهای مخرب مانند ارسال SMS، سرقت کارت یا keylogging ، تحلیل داینامیک در سندباکس ایزوله لازم است.

 

 شاخص‌ها و نشانه‌های فنی (IOCs):

SIDA-v9655.apk :

• Report : https://www.virustotal.com/gui/file/c5ffe01e831aec40ff4a945bff73e67b570cef99
• MD5 : b6aa0442419484f48dc5710f58959472
• SHA-1 : 4da06f93401194b290d9e2ce1601363fc1c491d0
• SHA-256 : c5ffe01e831aec40ff4a945bff73e67b570cef996c00cae6f333df26f7190846
• Vhash : 60eab6ab4ea3c97e75993cb51e0ee568
• SSDEEP : 196608:2ki6us5pSA7D2n6MBWgKYsn2HSVilUieINg/WglQfrM5T5yq:2ki6us5f/+dKdTkmDT5t
• TLSH : T139762342FA65E96FC4F3D33218B152392032DD12C703A787A46573BA64FBAD40F966E1

 

SIDA-v8453.apk :

• Report : https://www.virustotal.com/gui/file/c8610f11276bc40cd9fe78418e4d4335c794a13a8df35492963466620e0be72b/details
• 6c00cae6f333df26f7190846/details
• MD5 : d22902eef3a28f8de1b0a31a18360760
• SHA-1 : f8517326026eafe940ea5daf96c6c3dae1adc927
• SHA-256 : c8610f11276bc40cd9fe78418e4d4335c794a13a8df35492963466620e0be72b
• Vhash : 60eab6ab4ea3c97e75993cb51e0ee568
• SSDEEP : 196608:152WSeTyTzvs/FjM6SAFSI0HwdOEv0ROrKXqrHWbNo5s:152jJHs/q1AFwHN8IOrK6rH+No5s
• TLSH : T141762386FB59E64FC8F3D33618B556352032DC66C753E387682473B828BBAE41B466D0