⭕️بدافزارهای دارای درگاه بانکی جعلی(فیشینگ)-14 مرداد

❌هک تلگرام، ماهواره اندروید
shop.shprrakkk.ml/payment=5698542365.php?amount=10%2C000

❌ردیاب
pardakhtbanksmn.info/payment=20000sh.php

@bitbaanlab

‍ ⭕️بررسی برنامه AppDate با حجم 7.3 مگابایت⭕️

❌این برنامه در کانال های زیادی، تحت عنوان آنتی ویروس تبلیغ شده است، اما درواقع این برنامه یک فروشگاه برنامه های اندرویدی است.

❌برای استفاده از این فروشگاه (که کمتر از صد برنامه در آن قرار دارد) لازم است روزانه سیصد تومان پرداخت نمایید. درحالی که این برنامه ها در کافه بازار و گوگل پلی نیز به صورت رایگان وجود دارد.

❌نکته جالب اینجاست که بسیاری از برنامه های موجود در این فروشگاه، جعلی هستند و بجای برنامه اصلی، برنامه همراه سبز (با حق عضویت روزانه 500 تومان) دانلود و نصب میشود.

@bitbaanlab

⭕️بررسی برنامه AppDate-بخش دوم⭕️

❌براساس صحبت های انجام شده با مدیر این برنامه، مشخص شد که برنامه اپ دیت به اشتباه برنامه های "همراه سبز" را بجای برنامه های اصلی در فروشگاه خود قرار داده است و پس از اطلاع رسانی انجام شده، نسخه ها جایگزین شده اند.

❌درواقع مسئولین این برنامه، در دانلود برنامه ها از سایت های مختلف دچار اشتباه شده اند و چون در این سایت ها برنامه های جعلی قرار داده شده بود، آنها هم بدون هیچ بررسی همان برنامه های همراه سبز را در فروشگاه خود گذاشته اند. این برنامه ها حتی از گوگل پلی نیز دانلود نشده اند که بتوان با اعتماد به گوگل پلی، به این برنامه ها نیز اعتماد کرد.

⛔️اگر ما برنامه ها را بررسی نمیکردیم، آیا متوجه این اشتباه میشدند؟ آیا پیش از اخذ مجوز نباید این برنامه ها بررسی شوند؟ اگر یک برنامه جاسوسی یا رت جای این برنامه ها بود، چه کسی مسئولیت آلوده شدن افراد را برعهده میگرفت؟ آیا پیش از تبلیغ چندین میلیونی یک برنامه، نباید محتوای آن بررسی شود⁉️

⚠️این برنامه در فروشگاه چارخونه، که فروشگاه رسمی ایرانسل است نیز وجود دارد‼️
https://www.charkhoneh.com/content/930536765

@bitbaanlab

‍ ⭕️بررسی برنامه AppDate-بخش سوم⭕️

❌طبق گفته صاحب برنامه، بخش ارزش افزوده و پرداخت روزانه سیصد تومان، برای دسترسی به فروشگاه برنامه های نیست، و تنها برای مشاهده بخش "بلاگ" قرار داده شده است.

⛔️با یک جستجوی ساده میتوان دید که کلیه محتوای کپی شده در بخش بلاگ نیز از سایت
Farsroid.com
بوده است. شواهد این امر در تصویر مشخص است.

⚠️درواقع شما روزانه سیصد تومان برای خواندن مطالبی پرداخت میکنید که به صورت رایگان در اختیار عموم است!

@bitbaanlab

‍ ⭕️بازگشت بدافزارهای ارزش افزوده-فال تاروت⭕️

❌متاسفانه با اینکه مدتی انتشار بدافزارهای عضو کننده در سرویس های ارزش افزوده متوقف شده بودند، مجددا شاهد این بدافزارها هستیم.

❌این بدافزار پس از نصب، اپراتور تلفن همراه شما را تشخیص داده و براساس آن به شما پیشنهاد عضویت در سرویس "پرشتاب" ایرانسل و "آسمان" همراه اول را میدهد.

❌با زدن دکمه موافقت، کد تایید از طریق پیامک به کاربر ارسال میشود، اما از آنجا که برنامه مجوز دسترسی به پیامک ها را دارد، کد تایید را از پیامک استخراج کرده و در برنامه وارد میکند. علاوه بر این، خودش نیز در پیامکی، کد تایید را ارسال مینماید (به نظر میرسد بر اساس این پیامک سرویس فعال نمیشود).

❌در پایان نیز از آدرس
https://174.138.49.188/apk/faal.apk
برنامه فال دانلود میشود. این برنامه به صورت رایگان در کافه بازار نیز وجود دارد.

⛔️چرا برای استفاده از یک برنامه رایگان، کاربر باید در سرویس های ارزش افزوده عضو شود و روزانه 500 تومان پرداخت نماید⁉️

@bitbaanlab

‍ ⭕️بدافزارهای ارزش افزوده-پولدارهای ایران⭕️

❌بدافزار پولدارهای ایران همانند بدافزار فال تاروت، شما را عضو سرویس "پرشتاب" کرده و سپس برنامه "101 ثروتمند" را که به صورت رایگان در بازار وجود دارد، دانلود میکند.

❌سرویس "پرشتاب" سرویسی برای بازی پرشتاب است که در فروشگاه چارخونه وجود دارد.
https://www.charkhoneh.com/push/GAME/930532499/install

⛔️اینکه امتیاز پرداخت با ارزش افزوده این بازی در برنامه های جعلی مختلفی قرار داده شده است، جای بررسی و پیگیری دارد.

⚠️جالب است بدانید که حق عضویت سرویس پرشتاب برای دسترسی به این بازی، 300 تومان است و تا 48 ساعت به صورت رایگان میتوان از آن استفاده کرد. اما هزینه این سرویس در برنامه های جعلی 500 تومان بوده و از همان ابتدا هزینه را کسر میکند‼️

@bitbaanlab

🚨یکی از نسخه های غیررسمی تلگرام کانالی تحت عنوان "کانال رسمی تلگرام" ایجاد کرده و با انتشار هشدارهای جعلی، کاربر را تشویق به نصب بدافزاری با نام "آنتی ویروس تلگرام" میکند.
جزئیات بیشتر👇
@BitbaanLab

⚠️هرگز از نسخه های غیررسمی تلگرام استفاده نکنید و فریب پیام های جعلی آنها را نیز نخورید.

⭕️تلگرام غیررسمی "وگرام" با نام بسته com.vegram.rashidi، تحت عنوان "تلگرام ایکس" در کانال های تلگرامی تبلیغ و منتشر شده است. این برنامه برای دور زدن فیلترینگ، از پروکسی های طلگرام و هاتگرام استفاده میکند.

⭕️"وگرام" نام کانال خود را نیز "کانال رسمی تلگرام" قرار داده و از این طریق، اعتماد کاربر را جلب میکند و سپس با ارسال پیام های جعلی مختلف، کاربر را فریب میدهد. یکی از نمونه های این پیام ها، که توسط بسیاری از تلگرام های غیر رسمی دیگر نیز منتشر شده، "مدت اعتبار رایگان شما به پایان رسیده است، برای ادامه استفاده این برنامه را به ده نفر ارسال کنید" است.

⭕️علاوه بر این، این کانال به کاربر اخطار زیر را ارسال کرده و کاربر را تشویق به نصب بدافزاری با نام آنتی ویروس تلگرام میکند.
"تیم امنیتی تلگرام موفق به شناسایی 3 #ویروس خطرناک در گوشی شما شده است با نصب #آنتی_ویروس زیر ، گوشی خود را پاکسازی کنید ."

⛔️درواقع توسعه دهندگان این نسخه غیررسمی به سود حاصل از فروش اعضای خود به عنوان شرکت تبلیغاتی اکتفا نکرده، و قصد دارد با نشان دادن تبلیغات و یا دیگر اقدامات، از کاربران خود سواستفاده های بیشتری نماید.

❌بررسی این آنتی ویروس جعلی در لینک زیر قابل مشاهده است:
https://t.iss.one/bitbaanlab/178

@BitbaanLab

🚨هشدار: رت اندرویدی جدیدی تحت عنوان "شماره مجازی رایگان" در حال انتشار در تلگرام است. رت ها بدافزارهایی هستند که کنترل بخش های زیادی از گوشی قربانی را به حمله کننده میدهند.

ادامه در 👇👇
@Bitbaanlab

⭕️بررسی رت اندرویدی "شماره مجازی رایگان"⭕️

⚠️مراحل نصب و اقدامات این بدافزار به صورت زیر است:
1️⃣ مهاجم بدافزار را در گروه ها و کانال های مختلف منتشر کرده و آدرس ایمیلی را به عنوان ایمیل معرف ارسال میکند.
2️⃣این بدافزار تمامی مجوزهای تماس گرفتن، دسترسی به مخاطبین، ضبط صدا، دسترسی و ارسال پیامک، دسترسی به تصاویر و فایل های دستگاه، گرفتن تصویر و ضبط ویدئو و نهایتا دسترسی به موقعیت مکانی را از قربانی اخذ میکند.
3️⃣پس از نصب بدافزار، قربانی ابتدا ایمیل داده شده را وارد کرده و دستگاه خود را در لیست دستگاه هایی که مهاجم به آنها دسترسی دارد، ثبت میکند.
4️⃣در مرحله بعد "امکان غیرفعال کردن بهینه ساز باتری" غیرفعال میشود. با این کار حتی اگر شارژ باتری گوشی کم باشد نیز، فعالیت این برنامه و اتصال به اینترنت قطع نخواهد شد.
5️⃣پس از آن، با زدن دکمه "انتخاب کشور"، آیکون برنامه مخفی شده و قربانی فکر میکند برنامه حذف شده است. درحالی که اطلاعات قربانی در پس زمینه به مهاجم ارسال میشود.

⭕️اطلاعاتی که به صورت اتوماتیک از طریق رت ارسال میشود:
1️⃣پیامک ها و تماس ها
2️⃣موقعیت مکانی
3️⃣ ضبط صدا
4️⃣گرفتن عکس با دوربین پشت گوشی، هنگام مکالمات تلفنی
5️⃣اجرای دستورات از راه دور، شامل روشن/خاموش کردن وای فای و اینترنت موبایل، قفل کردن/ باز کردن دستگاه، آغاز/پایان ضبط

❌این بدافزار درواقع یک نسخه کپی شده از بدافزاری خارجی است که تنها نوشته های آن به فارسی تبدیل شده است. در نسخه اصلی بدافزار درمورد رفتار مخرب برنامه توضیحات و اخطارهای لازم داده شده است که متاسفانه در نسخه فارسی، عبارت ها به موارد فریبنده تغییر یافته است.
⛔️از آنجا که آموزش سواستفاده از طریق این رت در کانال های هک منتشر شده، احتمال قربانی شدن افراد بسیار زیاد است.
(به دلیل جلوگیری از رواج بدافزار، از آوردن اسم سایت و نسخه اصلی رت معذور هستیم.)

@Bitbaanlab

⭕️براساس بررسی انجام شده، دزدان ارزش افزوده در ازای تبلیغات میلیونی سرویس های خود در تلگرام، کمتر از 1% بازدهی داشته اند.

❌سود حاصل از 1% قربانی=حداقل روزانه 10میلیون تومان‼️

@bitbaanlab

🚨بدافزاری تحت عناوین مختلف "بازی مومو" و "دارک نایت" درحال انتشار است. این بدافزار برخی اطلاعات کاربر را ارسال و دستورات مختلفی را روی موبایل قربانی اجرا میکند.

⚠️اطلاعات بیشتر در👇👇
@bitbaanlab

⭕️بررسی بدافزار "بازی مومو"⭕️

❌بازی مومو، یک بازی یا چالش همانند نهنگ آبی است، که کلاهبرداران از اسم آن برای انتشار بدافزار در تلگرام استفاده کرده اند.

🔴فایل منتشر شده درواقع یک بدافزار است که پس از نصب، صفحه ای خالی به قربانی نشان میدهد و سپس با بسته شدن صفحه، آیکون برنامه را مخفی میکند. برخلاف تصور قربانی، برنامه حذف نمیشود بلکه در پس زمینه اقدامات مختلفی انجام میدهد.

🔴این بدافزار مدل، مارک، شناسه اندروید، نوع اپراتور و... را در سایت
https://iran-notification.com
ثبت کرده و با این کار، قربانی را در سایت ثبت نام میکند.

🔴پس از آن مهاجم میتواند دستورات زیر را روی موبایل قربانی اجرا کند:
1⃣باز کردن یک دیالوگ و نمایش لینک تبلیغات در آن
2⃣نمایش لینک دانلود یک برنامه به کاربر در قالب یک دیالوگ
3⃣دانلود و نصب یک برنامه از لینک دریافتی روی گوشی کاربر
4⃣باز کردن یک کانال تلگرامی
5⃣باز کردن یک لینک اینستاگرامی
6⃣باز کردن یک لینک در مرورگر
7⃣ارسال پیامک به شماره موجود در پیام دریافتی (با رضایت کاربر)
8⃣شنود پیامک ها و تشخیص پیامک هایی که در آنها "کد فعالسازی سرویس ارزش افزوده" وجود دارد. با این کار میتواند به سادگی کد را استخراج کرده و کاربر را عضو سرویس ارزش افزوده نماید.

⚠️اگر قربانی این بدافزار شده اید، به لیست برنامه های نصب شده مراجعه کرده و از آنجا اقدام به حذف بدافزار نمایید.

@bitbaanlab

⭕️آیا مجوز "نشان دادن محتوا روی دیگر برنامه ها" یا
DRAW OVER OTHER APPS
مجوز خطرناکی است⁉️

🚨آیا با مجوزهای خطرناک برنامه های اندرویدی آشنا هستید⁉️

⭕️شاید فکر کنید که مجوز دسترسی به پیامک یا دوربین، خطرناک‌ترین مجوزهایی هستند که یک برنامه میتواند از کاربر درخواست کند.

🚨اما خطرناک‌تر از این مجوزها، مجوز "نمایش روی برنامه های دیگر" یا
SYSTEM_ALERT_WINDOW
و یا به عبارت دیگر
Draw over other apps
است.

⚠️مجوزی که شاید تا کنون اسم آن را هم نشنیده باشید. ⚠️

❌برنامه با داشتن این مجوز این قابلیت را پیدا میکند که هر محتوایی را روی برنامه‌های دیگر گوشی نشان دهد.

⭕️این قابلیت کاربردهای زیادی دارد،
✅ مثلا در برنامه ای پیام رسان، وقتی پیامی دریافت می‌کنید و در حال کار کردن با برنامه دیگری هستید، یک اعلان بالای صفحه نشان داده میشود که از شخصی پیامی دریافت کردید.

⛔️اما بدافزارها از این مجوز سواستفاده های مختلفی میکنند:

🔴به عنوان مثال پنجره ای به اندازه کل صفحه ایجاد کرده و مانع دسترسی شما به صفحه اصلی دستگاه میشوند (باج افزارها).

🔴صفحه ای جعلی روی تنظیمات دستگاه نشان میدهند و بدون اینکه کاربر متوجه شود، تنظیمات را تغییر میدهند (افزایش مجوزهای دسترسی).

🔴مرورگری باز کرده و روی آن صفحه جعلی دیگری نمایش میدهند و از این طریق اقدامات مختلفی مانند استخراج ارز دیجیتال انجام میدهند (ماینرها).

🔴به هنگام ورود به حسابهای کاربری، یا حتی صفحه پرداخت بانکی، صفحه ای جعلی روی صفحه اصلی قرار میدهند و اطلاعات کاربر را سرقت میکنند (حمله فیشینگ).

🔴بر روی صفحه کلید پوششی قرار داده و هرآنچه کاربر مینویسد را ذخیره کند (کی لاگر).

🔴و...


🚨پس هنگام نصب برنامه ها از هر منبعی(حتی فروشگاه های رسمی) مراقب این مجوز خطرناک باشید❗️


🔰نحوه تشخیص و پاکسازی در👇👇

@bitbaanlab

‍ ‍ ⭕️نحوه شناسایی بدافزارهای دارای مجوز "نمایش روی برنامه های دیگر"⭕️

✅برای جلوگیری از قربانی شدن توسط بدافزارهای دارای این مجوز لازم است به قسمت تنظیمات ⬅️ برنامه ها ⬅️ آیکون چرخ دنده ⬅️ مجوزهای خاص ⬅️ "نمایش روی برنامه های دیگر" رفته و یا در نسخه های قدیمیتر اندروید، مجوز تک تک برنامه ها را مشاهده، و وجود این دسترسی را بررسی کنید. (تنظیمات در ویدئو پایین قابل مشاهده است)

🔴لازم به ذکر است که برخی برنامه ها مانند آنتی ویروس ها به این مجوز نیاز داشته و به درستی از آن استفاده میکنند.

⭕️اگر برنامه ای این مجوز را داشت و برنامه غیرقابل اعتمادی بود، حتما برنامه را حذف نمایید.

@bitbaanlab

⭕️تبلیغی تحت عنوان "برنامه استخراج ارز دیجیتال" درحال انتشار گسترده در کانالهای تلگرامی است. درگاه پرداخت این برنامه جعلی (فیشینگ) است.

https://aplication123456.net/payment=11543459sh.php

@bitbaanlab

از نظر شما محتوای برنامه ای با این عنوان مستهجن کدام مورد است؟

@bitbaanlab

.
anonymous poll

برنامه بازگشت، یکی از کاملترین نرم افزارهای موبایل در حوزه مذهبی! با تعرفه روزانه 500 تومان – 78
👍👍👍👍👍👍👍 61%

برنامه ای که در پس زمینه کد استخراج ارز دیجیتال اجرا میکند – 42
👍👍👍👍 33%

کلیپ مستهجن – 5
▫️ 4%

برنامه ماهواره اندرویدی – 3
▫️ 2%

👥 128 people voted so far.

⭕️سرویس های ارزش افزوده برای تبلیغ و بدست آوردن کاربر بیشتر، ارزش های اخلاقی و قوانین را زیر پا گذاشته و از عناوین مستهجن استفاده مینمایند.

❌مسئول نظارت براین سرویس ها چه کسانی هستند⁉️

@bitbaanlab