🚀 لقد رفعت CloudSek جولة B1 من السلسلة B1 بقيمة 19 مليون دولار - تعزيز مستقبل الأمن السيبراني التنبؤي
اقرأ المزيد
وفي 17 نيسان/أبريل 2023, كلاود سيكاكتشف فريق أبحاث استخبارات التهديدات برنامجًا ضارًا ظهر حديثًا بعنوان «دام». تم العثور على أن البرنامج الضار يتواصل مع العديد من ملفات Android APK، مما يشير على الأرجح إلى مصدر العدوى. أثناء كتابة هذا التقرير، تم العثور على لوحتين C2 تعملان على عناوين IP التالية:
يمكن العثور على WebSocket المرتبط بعنوان IP أعلاه على عنوان URL التالي: hxxp [:] //192 [.] 99 [.] 251 [.] 51 [:] 3000/socket [.] io/? EIO=3 والنقل = مقبس الويب وSID = H1J-NXWA-LRJNA2AACSL
ملاحظة:ومن المثير للاهتمام أن هذا البرنامج الضار قد لوحظ أيضًا أنه يحتوي على إمكانات برامج الفدية نظرًا لأنه يقوم بتشفير الملفات باستخدام خوارزميات AES الموجودة في الدليل الجذر وبطاقة SD ويسقط ملف 'readme_now.txt'.
بعد تحليل عنوان IP (192 [.] 99 [.] 251 [.] 51) للوحة C2 باستخدام الويب المفتوح، تم اكتشاف أن اللوحة كانت على اتصال بالعديد من ملفات APK التي تم الكشف عنها مؤخرًا.
أثناء كتابة هذا التقرير، لاحظ باحثو CloudSek العديد من مواقع الويب التي تقدم إصدارات مجانية من هذه التطبيقات بينما تم تصنيف بعضها بالفعل على أنها خبيثة/مشبوهة على العديد من منصات وضع الحماية عبر الإنترنت. حتى وقت كتابة هذا التقرير، تمت إضافة التطبيقات المكتشفة على بعض هذه المنصات مؤخرًا منذ 3 أيام، بالتزامن مع تاريخ اكتشاف لوحة C2.
قدم بحث Google البسيط حول التطبيقات الأوصاف التالية عنها:
عند التحقيق، اكتشف فريق أبحاث CloudSek أن التطبيقات الثلاثة المذكورة أعلاه تستخدم ملف حزمة ضارة شائع يسمى»خدمة الاتصال com.android.call«. تم استخدام هذه التطبيقات المجسمة لتوزيع برامج Daam الضارة. على الرغم من أن العينات التي تم تحليلها لا تُظهر أي سلوك ضار، فإن الحزم المحددة التي تستخدم هذا الملف تشارك في أنشطة ضارة مثل استرداد اسم حسابات Google، وتسجيل الهاتف، ومكالمات VoIP، والصوت، والوصول إلى الكاميرا، وتعديل كلمة مرور الجهاز، والوصول إلى قوائم جهات الاتصال، والتقاط لقطات الشاشة، وسرقة رسائل SMS، وأخذ الإشارات المرجعية لمتصفح Chrome، وتنزيل/تحميل الملفات، وتشفير الملفات باستخدام خوارزمية AES، وما إلى ذلك.
أثناء التحليل الديناميكي للبرامج الضارة، لوحظ أن البرامج الضارة، بمجرد تثبيتها على جهاز الضحية، أجرت فحوصات متعلقة بالبيئة حدت من وظائفها الكاملة. تم تشغيل عمليات التحقق هذه عندما أرسلت البرامج الضارة طلبًا إلى خادم الأوامر والتحكم (C2) باستخدام بروتوكول WebSocket، وتم تكوين الطلب بناءً على تكوين جهاز الضحية.
بمجرد التثبيت على جهاز Android، يتم منح التطبيقات الضارة حق الوصول إلى أذونات حساسة للغاية بما في ذلك RECORD_AUDIO و READ_HISTORY_BOOKMARK و KILL_BACKGROUND_PROCESS و READ_CALL_LOGS.
البرنامج الضار قادر على التحايل على فحوصات الأمان على مجموعة من العلامات التجارية للهواتف المحمولة.
يمتلك برنامج Daam الضار القدرة على تسجيل جميع المكالمات الجارية (الهاتف و VoIP) على جهاز الضحية ثم نقلها لاحقًا إلى خادم C2.
تبحث البرامج الضارة أيضًا عن معرفات حزم معينة للتطبيقات التي توفر خدمات VoIP، مثل WhatsApp و Hike وما إلى ذلك، من أجل تسجيل مكالمات VoIP.
يمكن للبرامج الضارة اجتياز جميع الأدلة المحلية القابلة للقراءة وهي قادرة على سحب جميع الملفات من جهاز الضحية.
بالإضافة إلى سرقة جهات الاتصال من جهاز الضحية، فإن برنامج Daam الضار قادر أيضًا على سرقة جهات الاتصال المضافة حديثًا.
تم تصميم البرامج الضارة بمهارة لاستخدام خوارزمية تشفير AES لتشفير جميع الملفات على الجهاز دون موافقة المالك. بعد التشفير، يتم حذف جميع الملفات المشفرة من التخزين المحلي، مع ترك الملفات المشفرة فقط مع .enc تمديد.
* بينما تشير الإحصاءات إلى أن مواقع الويب التابعة لجهات خارجية قد تستضيف نسبة أعلى من الملفات الضارة أو المصابة، فمن المهم توخي الحذر وإجراء البحث قبل تنزيل أي تطبيق من مصدر غير مألوف.
MD5
49 قدم مكعب 64d9f0355 الفاكس 93679a86e92982
99580a341b486a2f8b177f20d6f782e
ee6aec48e191ba6efc4c65ff45a88e
شا-1
67a3def7ad736df94c8c 50947 f785c0926142b69
bc826967c 90 acc08f1f70a018f5d13f31521b92
f3b135555ae731b5499502 f3b69724944ab367d5
شا-256
37 ديسيبل 4 سم 5 أ 0ea070 fe0a1 a2703914 bf442 ب 4285658 ب 31 د 220 قدم 974 متر مكعب 974 متر مكعب 953 b041 e11
184356d900a5452d545a6b 96fa6d7b46f881 a1a80ed134 ديسيبل 1c65225e8fa902b
0fdfbf20e59b28181801274 ad23b951106 c6f7a516eb914 efd427 b6617630 f30
شا-512
2b82d39be969 fd0d92986 de1806f011ca2b9967d1 aee2df2d8f175e175e175e57741e91edb5e1244a61 bc76b64260416b16 f95d27aa2eb259a8c746496
d2cfbc281 fe353b8018cb4e7a861 a551 f0ebfcc65a03e964109db8f0caf0 caf424 إيس 8f8f8f8f8f8f8f8f8f8f8f8f8f8f81f8f8f8f8f8f8f8f8 قدم 828 قدم 268 قدم 99 د 074 ج 89990 ديسي2e7091 با 3971 سم 513 عمق 781 سنتيمتر 4792212463957
0f1fb2554bd05df4c4987f64f9c22695cb2f0951b1b1b46202 fb0a24ff5008 d14df2782e1c508c508b 508b5534 c16c024034c72 cee2eeb 4337e0fd69314 ee0db
أسماء الملفات
بولدر.s.apk
psiphone android.s.apk
العملة _PRO_v3.6.2 APK
القيادة والتحكم
192.99.251 [.] 51
84.234.96 [.] 117