فك تشفير برنامج Daam الضار: تحليل متعمق لبرامج Daam الضارة التي تحتوي على إمكانات برامج الفدية

الفئة: ذكاء البرامج الضارة
المنطقة: عالمية

ملخص تنفيذي

وفي 17 نيسان/أبريل 2023, كلاود سيكاكتشف فريق أبحاث استخبارات التهديدات برنامجًا ضارًا ظهر حديثًا بعنوان «دام». تم العثور على أن البرنامج الضار يتواصل مع العديد من ملفات Android APK، مما يشير على الأرجح إلى مصدر العدوى. أثناء كتابة هذا التقرير، تم العثور على لوحتين C2 تعملان على عناوين IP التالية:

84 [.] 234 [.] 96 [.] 117 [:] 3000/#/تسجيل الدخول
192 [.] 99 [.] 251 [.] 51 [:] 3000/#/تسجيل الدخول

يمكن العثور على WebSocket المرتبط بعنوان IP أعلاه على عنوان URL التالي: hxxp [:] //192 [.] 99 [.] 251 [.] 51 [:] 3000/socket [.] io/? EIO=3 والنقل = مقبس الويب وSID = H1J-NXWA-LRJNA2AACSL

ملاحظة:ومن المثير للاهتمام أن هذا البرنامج الضار قد لوحظ أيضًا أنه يحتوي على إمكانات برامج الفدية نظرًا لأنه يقوم بتشفير الملفات باستخدام خوارزميات AES الموجودة في الدليل الجذر وبطاقة SD ويسقط ملف 'readme_now.txt'.

*لقطة شاشة للوحة C2 من برنامج Daam الضار*

‍

تحليل الويب المفتوح

بعد تحليل عنوان IP (192 [.] 99 [.] 251 [.] 51) للوحة C2 باستخدام الويب المفتوح، تم اكتشاف أن اللوحة كانت على اتصال بالعديد من ملفات APK التي تم الكشف عنها مؤخرًا.

*لقطة شاشة تعرض لوحة C2 وهي تتواصل مع ملفات APK المختلفة*

‍

أثناء كتابة هذا التقرير، لاحظ باحثو CloudSek العديد من مواقع الويب التي تقدم إصدارات مجانية من هذه التطبيقات بينما تم تصنيف بعضها بالفعل على أنها خبيثة/مشبوهة على العديد من منصات وضع الحماية عبر الإنترنت. حتى وقت كتابة هذا التقرير، تمت إضافة التطبيقات المكتشفة على بعض هذه المنصات مؤخرًا منذ 3 أيام، بالتزامن مع تاريخ اكتشاف لوحة C2.

List of Websites Distributing The APKs
napkforpc.com	apk-new.com	Andyroid.net
Apkod.com	Androidfreeware.mobi	333download.com
Downloadpark.mobi	Androidtop.net	apktoy.com

‍

حول ملفات APK الضارة

قدم بحث Google البسيط حول التطبيقات الأوصاف التالية عنها:

عميل Psiphon لأندرويد وويندوز: Psiphon هو برنامج للتحايل على منصات Windows و Mobile يوفر وصولاً غير خاضع للرقابة إلى محتوى الإنترنت.
الصخور: Boulders هي لعبة يكون هدفك الرئيسي فيها هو الاستيلاء على كل الكنز من المنجم وإخراجه حيًا.
عملة برو: Currency Pro هو محول عملات يوفر معدلات تحويل العملات الأجنبية في العالم.

التحليل الفني

عند التحقيق، اكتشف فريق أبحاث CloudSek أن التطبيقات الثلاثة المذكورة أعلاه تستخدم ملف حزمة ضارة شائع يسمى»خدمة الاتصال com.android.call«. تم استخدام هذه التطبيقات المجسمة لتوزيع برامج Daam الضارة. على الرغم من أن العينات التي تم تحليلها لا تُظهر أي سلوك ضار، فإن الحزم المحددة التي تستخدم هذا الملف تشارك في أنشطة ضارة مثل استرداد اسم حسابات Google، وتسجيل الهاتف، ومكالمات VoIP، والصوت، والوصول إلى الكاميرا، وتعديل كلمة مرور الجهاز، والوصول إلى قوائم جهات الاتصال، والتقاط لقطات الشاشة، وسرقة رسائل SMS، وأخذ الإشارات المرجعية لمتصفح Chrome، وتنزيل/تحميل الملفات، وتشفير الملفات باستخدام خوارزمية AES، وما إلى ذلك.

للملاحظة:

أثناء التحليل الديناميكي للبرامج الضارة، لوحظ أن البرامج الضارة، بمجرد تثبيتها على جهاز الضحية، أجرت فحوصات متعلقة بالبيئة حدت من وظائفها الكاملة. تم تشغيل عمليات التحقق هذه عندما أرسلت البرامج الضارة طلبًا إلى خادم الأوامر والتحكم (C2) باستخدام بروتوكول WebSocket، وتم تكوين الطلب بناءً على تكوين جهاز الضحية.

*تسريب معلومات الجهاز بواسطة البرامج الضارة الموجودة في الخلفية*

‍

الأذونات المطلوبة من قبل البرامج الضارة

بمجرد التثبيت على جهاز Android، يتم منح التطبيقات الضارة حق الوصول إلى أذونات حساسة للغاية بما في ذلك RECORD_AUDIO و READ_HISTORY_BOOKMARK و KILL_BACKGROUND_PROCESS و READ_CALL_LOGS.

*أذونات المستخدم ذات الطبيعة الحساسة التي طلبها التطبيق الضار*

‍

ميزات البرامج الضارة

تجاوز عمليات التحقق الأمني

البرنامج الضار قادر على التحايل على فحوصات الأمان على مجموعة من العلامات التجارية للهواتف المحمولة.

*عمليات تجاوز الفحص الأمني التي تنفذها البرامج الضارة*

‍

تسجيل الصوت ومكالمات الهاتف/VoIP

يمتلك برنامج Daam الضار القدرة على تسجيل جميع المكالمات الجارية (الهاتف و VoIP) على جهاز الضحية ثم نقلها لاحقًا إلى خادم C2.

*مقتطف الشفرة المسؤول عن تسجيل المكالمات على الجهاز المتأثر*

‍

تبحث البرامج الضارة أيضًا عن معرفات حزم معينة للتطبيقات التي توفر خدمات VoIP، مثل WhatsApp و Hike وما إلى ذلك، من أجل تسجيل مكالمات VoIP.

*مقتطف الشفرة الذي يصور معرفات الحزمة التي بحثت عنها البرامج الضارة لتسجيل مكالمات VoIP*

‍

استخراج الملفات

يمكن للبرامج الضارة اجتياز جميع الأدلة المحلية القابلة للقراءة وهي قادرة على سحب جميع الملفات من جهاز الضحية.

‍

سرقة جهات الاتصال

بالإضافة إلى سرقة جهات الاتصال من جهاز الضحية، فإن برنامج Daam الضار قادر أيضًا على سرقة جهات الاتصال المضافة حديثًا.

‍

تشفير الملفات

تم تصميم البرامج الضارة بمهارة لاستخدام خوارزمية تشفير AES لتشفير جميع الملفات على الجهاز دون موافقة المالك. بعد التشفير، يتم حذف جميع الملفات المشفرة من التخزين المحلي، مع ترك الملفات المشفرة فقط مع .enc تمديد.

‍

التأثير

يمكن لمعلومات تحديد الهوية الشخصية المكشوفة تمكين الجهات الفاعلة الأخرى في مجال التهديد من تنسيق مخططات الهندسة الاجتماعية وهجمات التصيد الاحتيالي وسرقة الهوية.
إذا كان النظام المشفر يحتوي على بيانات مهمة لم يتم نسخها احتياطيًا، فلن يُترك للضحية أي خيار سوى دفع الفدية.
نظرًا لأن إعادة استخدام كلمة المرور هي ممارسة شائعة، يمكن للجهات الفاعلة في مجال التهديد الاستفادة من بيانات الاعتماد المكشوفة للوصول إلى حسابات المستخدمين الأخرى.
يمكن للبرامج الضارة أيضًا تغيير كلمات مرور الجهاز التي تمنع المستخدمين من الوصول، إلى جانب إمكانات التشفير.

التخفيف

راقب الحالات الشاذة في حسابات المستخدمين والأنظمة التي يمكن أن تكون مؤشرات لعمليات الاستحواذ المحتملة. يتضمن ذلك: المكالمات الصاخبة، وتسخين الأجهزة أو إبطائها، ومشكلات البطارية، والتطبيقات التي تعمل بشكل غير طبيعي، والإشعارات غير العادية، وما إلى ذلك.
قم بتثبيت برنامج مكافحة فيروسات قوي في النظام لاكتشاف التوقيعات الضارة.
قم بتمكين جميع سياسات حماية خصوصية Google التي تمنع وتحذر المستخدمين أثناء تنزيل التطبيقات الضارة.
ابحث عن التطبيقات التي تطلب أذونات غير ضرورية للعمل.
لا تقم مطلقًا بتنزيل التطبيقات من مصادر ومستودعات غير معروفة، فهناك فرصة كبيرة للتشويش الضار.*

* بينما تشير الإحصاءات إلى أن مواقع الويب التابعة لجهات خارجية قد تستضيف نسبة أعلى من الملفات الضارة أو المصابة، فمن المهم توخي الحذر وإجراء البحث قبل تنزيل أي تطبيق من مصدر غير مألوف.

مؤشرات التسوية (IOCs)

MD5

49 قدم مكعب 64d9f0355 الفاكس 93679a86e92982

99580a341b486a2f8b177f20d6f782e

ee6aec48e191ba6efc4c65ff45a88e

‍

شا-1

67a3def7ad736df94c8c 50947 f785c0926142b69

bc826967c 90 acc08f1f70a018f5d13f31521b92

f3b135555ae731b5499502 f3b69724944ab367d5

‍

شا-256

37 ديسيبل 4 سم 5 أ 0ea070 fe0a1 a2703914 bf442 ب 4285658 ب 31 د 220 قدم 974 متر مكعب 974 متر مكعب 953 b041 e11

184356d900a5452d545a6b 96fa6d7b46f881 a1a80ed134 ديسيبل 1c65225e8fa902b

0fdfbf20e59b28181801274 ad23b951106 c6f7a516eb914 efd427 b6617630 f30

‍

شا-512

2b82d39be969 fd0d92986 de1806f011ca2b9967d1 aee2df2d8f175e175e175e57741e91edb5e1244a61 bc76b64260416b16 f95d27aa2eb259a8c746496

d2cfbc281 fe353b8018cb4e7a861 a551 f0ebfcc65a03e964109db8f0caf0 caf424 إيس 8f8f8f8f8f8f8f8f8f8f8f8f8f8f81f8f8f8f8f8f8f8f8 قدم 828 قدم 268 قدم 99 د 074 ج 89990 ديسي2e7091 با 3971 سم 513 عمق 781 سنتيمتر 4792212463957

0f1fb2554bd05df4c4987f64f9c22695cb2f0951b1b1b46202 fb0a24ff5008 d14df2782e1c508c508b 508b5534 c16c024034c72 cee2eeb 4337e0fd69314 ee0db

‍

أسماء الملفات

بولدر.s.apk

psiphone android.s.apk

العملة _PRO_v3.6.2 APK

‍

القيادة والتحكم

192.99.251 [.] 51

84.234.96 [.] 117

‍

المراجع

الملحق

*مواقع الويب التي توزع إصدارات غير رسمية من التطبيقات المتأثرة التي من المحتمل أن تكون ضارة*

‍