⭕️ مراقب نوتیفیکیشن‌های جعلی و اغوا کننده باشید. عاقبت اعتماد به این نوتیفیکیشن‌ها، عضویت در سرویس‌های ارزش افزوده است❗️

⁉️همچنان برنامه‏هایی با عناوین مشابه "فالور بگیر اینستاگرام" در مارکت‏های اندرویدی در حال فعالیت هستند که کلمه عبور کاربران را به سرقت می‏برند و می‏توانند حساب کاربری اینستاگرام را به طور کامل در اختیار بگیرند.
لینک و عنوان برخی از این برنامه‏ها:
❌https://play.google.com/store/apps/details?id=com.followkade.insta
❌https://play.google.com/store/apps/details?id=com.aseman.securityinstagram
❌https://play.google.com/store/apps/details?id=com.likebegir.insta

⭕️ متاسفانه تنها یکی از برنامه‌های فالوربگیر توانسته است اطلاعات اینستاگرام حدود ۱۷۰ هزار قربانی را به سرقت ببرد.

⭕️ تیم بیت‌بان حلول سال نو و بهار پرطراوت، که نشانه قدرت لایزال الهی و تجدید حیات طبیعت است را به تمامی عزیزان تبریک و تهنیت عرض نموده و علاوه بر موفقیت و شادی، سالی سرشار از آگاهی، پژوهش علمی، یادگیری، آموزش و فروتنی را از درگاه خداوند متعال و سبحان برای شما همراهان همیشگی آرزو می‌کند.

⭕️ امیدواریم پیشنهادات و انتقادات شما در سال جدید راهگشای ما در بهبود عملکردمان باشد.
راه‌های ارتباطی:
@BitBaanInfo
[email protected]

تیم بیت‌بان ضمن همدری با آسیب‌دیدگان و آرزوی صبر برای خانواده‌های عزادار، از درگاه خداوند متعال، برای درگذشتگان این حادثه تلخ، رحمت و غفران مسئلت می نماید.

⭕️علاقه‌مندان به سریال محبوب بازی تاج و تخت، مراقب باشید بدافزار در راه است‼️
⭕️هنگامی که اپیزودهای سریال‌های محبوب از گیم آو ترونز گرفته تا Arrow و مردگان متحرک (Walking Dead) را از تورنت دانلود می‌کنید، همواره با درجه‌ای از خطر امنیتی روبرو هستید. بر اساس گزارشی که شرکت امنیتی کسپرسکی منتشر کرده، قسمت‌هایی از سریال‌های محبوبی که در سال 2018 از طریق فایل‌های تورنت منتشر شده‌اند حاوی بدافزار بوده‌اند.
⭕️مطابق گزارش این شرکت، در حالی که در یک سال گذشته هیچ اپیزود جدیدی از گیم آو ترونز پخش نشده، حجم محبوبیت این سریال آنقدر بالا بوده که تعداد قربانیان فایل‌های کاذب آلوده این سریال، به تنهایی ۱۷ درصد کل دانلودهای نافرجام و آلوده‌کننده را شامل شده است.
‏(منبع:
https://securelist.com/game-of-threats/90116/)

#بدافزار
#هشدار
‏#game_of_threats

⭕️پس از پیگیری‌های بیت‌بان و ارسال گزارش در تاریخ ۱۰ آوریل ۲۰۱۹ به گوگل‌پلی و چندین ضدبدافزار مطرح خارجی همانند Malwarebytes و Nod32 خوشبختانه تمامی بدافزارها از فروشگاه گوگل‌پلی حذف شدند. همچنین وبسایت فیشینگ مرتبط به این بدافزارها به لیست سیاه مرورگرها اضافه شدند.
#بیت_بان
#بدافزار
#گزارش

⭕️مجددا تاکید می کنیم که سعی کنید برای استفاده از خدمات رایگان دولتی از وبسایت اصلی استفاده نمایید و به هیچ وجه از نرم‌افزارهای واسط که عموما هزینه ای به صورت روزانه از کاربر دریافت می‌کنند، استفاده نکنید.
⭕️اخیرا مشاهده شده یکی از خبرگزاری‌های معتبر تلگرامی نرم‌افزار مبتنی بر ارزش افزوده خودش را به عنوان "اپلیکیشن خدمات دولت همراه" به کاربران معرفی کرده و از این راه کسب درآمد می‌کند.
⭕️ گزارش تحلیلی به زودی منتشر خواهد شد.

#بیتـبان #خبرـفوری #کارت_سوخت #خدمات_دولتـهمراه #ارزشـافزوده

⭕️اخیرا سرویس امنیتی گوگل‌پلی (پلی‌پروتکت)، نسبت به ناامن بودن برنامک اندرویدی موبوگرام به کاربران گوشی‌های اندرویدی هشدار داد و این برنامک را نیز از گوگل پلی حذف کرد.
⭕️آزمایشگاه بیت‌بان بارها نسبت به نصب نسخه‌های غیر رسمی تلگرام هشدار داده است‼️

⭕️با توجه به متن باز بودن تلگرام نسخه‌های غیررسمی تلگرام به شدت در اینترنت موجود هستند. این نسخه‌ها عموما دارای امکاناتی هستند که حتی نسخه اصلی تلگرام فاقد آن می‌باشد. اما توسعه دهندگان این نسخه‌های غیررسمی در پس زمینه از حساب کاربر به عنوان یک ابزار تبلیغاتی استفاده می‌کنند. یعنی با حساب آن کاربر عضو کانال های مختلف شده یا اینکه پست‌هایی را به گروه‌های مختلف ارسال می‌کنند.

⭕️همچنین ممکن است برخی محتوای فریب دهنده در این نسخه های تلگرام به کاربر نمایش داده شود. یا اینکه حتی توسعه‌دهندگان این نسخه‌ها اقدام به شنود پیام‌های شخصی شما نمایند.

⭕️موبوگرام در معرفی برنامک خود توضیح داده است که یکی از نسخه‌های غیررسمی تلگرام بوده که درکنار ویژگی‌های اصلی تلگرام یعنی امنیت و سرعت، امکانات اضافه‌تری را به کاربران ارائه می‌دهد.
#بیت_بان
#خبر_فوری
#بدافزار
#تلگرام

⁉️ آیا اگر به فایلی مشکوک شدیم تحلیل و بررسی آن فایل با چند ابزار ضدبدافزار کفایت میکنه؟
⭕️ اگر چه نخستین قدم در تحلیل یک فایل مشکوک، بررسی آن با چند ابزار ضدبدافزار است اما این قدم، هرچند لازم، به تنهایی کافی نیست.
⭕️ به ویژه در حوزه بدافزارهای ارزش افزوده، به دلیل آنکه این بدافزارها از خلاء‌های قانونی موجود در کشور و عدم آگاهی کاربران سوء استفاده می‌کنند، تقریبا تمام ضدبدافزارهای خارجی و داخلی، این دسته بدافزارها را شناسایی نمی‌کنند.
⭕️ در روزهای آینده پلتفرم تحلیل بدافزار بیت‌بان برای تحلیل بدافزارها در اختیار عموم قرار خواهد گرفت.

تیم بیت‌بان عید سعید فطر رو به همه همراهان عزیز کانال تبریک عرض می‌کند.
طاعات و عباداتتون مقبول درگاه حق

🔥🔥🔥خبر فوری 🔥🔥🔥
⭕️ آزمایشگاه بیت‌بان بدافزاری مبتنی بر صفحه کلید غیررسمی با ۱۲ میلیون قربانی شناسایی کرده است که به صورت جاسوس افزار و کیلاگر تمام دکمه‌های فشرده شده توسط کاربر بر روی تلفن همراه را به سمت سرور ارسال می‌کند.

✅ تنها از صفحه کلید اصلی سیستم‌عامل اندروید استفاده کنید.
❌ از نصب و استفاده هر گونه صفحه کلید غیررسمی بر روی تلفن همراه خودداری کنید.
❌ هرگز از صفحه کلید رام‌های سفارشی نامعتبر استفاده نکنید.

‼️ گزارش تکمیلی در خصوص این بدافزار به زودی منتشر خواهد شد.
#بیت_بان
#خبر_فوری
#بدافزار
#اندروید

❗️هشدار❗️ برخی برنامه‌ها با استفاده از سرویس
Push Notification
به قربانی پیغامی مبنی بر آلودگی دستگاهش به ویروس می‌دهند و وی را ترغیب می‌کنند که جهت حذف ویروس ضدویروسی را نصب نماید.
⭕️ضدویروس‌های معرفی شده توسط این پیغام‌ها جعلی بوده و نه تنها هیچ راهکاری برای مبارزه با بدافزارها ارائه نمی‌دهند، بلکه با ارائه مکرر تبلیغات به قربانی، از وی سوء استفاده و کسب درآمد می‌کنند.
#بیتـبان
#آنتیـویروسـجعلی
#سوءـاستفاده

⭕️ همانطور که قبلا نیز هشدار داده شد به هیچ وجه از پوسته‌های سفارشی تلگرام استفاده نکنید.
⭕️ اخیرا گوگل اقدام به حذف پوسته‌ی TeleDR که توسط شبکه‌های ماهواره‌ای و کانال‌های خبری خارجی معرفی شده بود کرده است.
⭕️ این اقدام گوگل نشان دهنده آن است که این شرکت تفاوتی بین پوسته‌های داخلی و خارجی قائل نیست، و پوسته‌‌هایی که ناقض حریم خصوصی کاربران هستند را به محض شناسایی حذف می‌کند.
#بدافزار
#پوسته_تلگرام
#گوگل
#بیت_بان
@bitbaanlab

✅ توجه: پیرو حذف پوسته تلگرام TeleDR از گوگل پلی و بازگشت مجدد آن:
⭕️ برای آزمایشگاه بیت‌بان محرز است که بین نسخه قبلی (پاک شده توسط گوگل) و نسخه فعلی این برنامه در گوگل تفاوت وجود دارد و توسعه دهنده با حذف کدهای ناقض حریم خصوصی کاربر توانست مجوز انتشار دوباره برنامه را در Google Play بگیرد.
⭕️ در تصویر بالا، مقایسه‏ای بین کدهای نسخه قدیم TeleDR (که حاوی کدهای مخرب بود) و نسخه جدید (که کدهای مخرب حذف شده است) ارائه شده است.
⭕️ به عنوان مثال این نرم‏افزار مجوز REQUEST_INSTALL_PACKAGES دریافت می‏کرد. سپس در پس‏زمینه بدون اجازه کاربر یک درخواست به https://d1ra5t3jiquy8n.cloudfront.net/ver-com.teledr.json ارسال کرده و اقدام به دانلود و نصب برنامه‏ای که در پاسخ درخواست بالا وجود داشت (فیلد apkUrl)، می‏کرد.
⭕️ البته همچنان نمی‏توان به این برنامه و سایر تلگرام‏های غیررسمی اعتماد نمود. نسخه جدید همچنان رفتارهای مشکوکی (همانند برخی ارتباطات با دامنه iranian.app، نمایش تبلیغات جهت دار و...) دارد که می‏تواند ناقض حریم خصوصی کاربران باشد.

#بیت_بان
#بدافزار
#پوسته_تلگرام
@bitbaanlab

⭕️توضیحات تکمیلی درباره برنامه TeleDR 👇

⁉️ برخی از مخاطبین کانال مطرح کرده بودند که مجوز REQUEST_INSTALL_PACKAGES، مجوز خطرناکی نیست و خود تلگرام نیز دارای این مجوز است.
✅ در پاسخ به این ابهام باید گفت که هرچند نسخه اصلی تلگرام نیز دارای این مجوز است، اما کاربرد این مجوز بین نسخه اصلی تلگرام و نرم‏افزار TeleDR متفاوت است. نسخه اصلی تلگرام از این مجوز برای نصب فایل‏های APK که خود کاربر دانلود کرده است، استفاده می‏کند. در صورتی که TeleDR خود اقدام به دانلود برنامه مورد نظر می‌کند و نه کاربر.
✅ گوگل برای انتشار برنامه در Google Play قوانینی وضع کرده است که در آدرس زیر قابل مشاهده است:
https://play.google.com/about/privacy-security-deception/malicious-behavior/
یکی از مواردی که در قوانین بالا ممنوع اعلام شده است، عبارت است از:
Apps or SDKs that download executable code, such as dex files or native code, from a source other than Google Play.
قانون بالا می‏گوید هیچ برنامه‏ای نباید از خارج از Google Play یک فایل اجرایی دلخواه را دانلود و نصب نماید مگر اینکه دلیل مشخصی برای انجام آن کار داشته باشد.
✅ با بررسی ساده در کانال‌های تلگرامی، هزاران بدافزار تبلیغاتی (عموما برای عضو کردن کاربر در سرویس‏های ارزش افزوده) خواهید دید که از مجوز REQUEST_INSTALL_PACKAGES سوء استفاده کرده و اقدام به دانلود و ارسال درخواست نصب بدافزار دیگر (که عموما در Google Play نیستند و در نتیجه از فیلترهای گوگل عبور نکرده‏اند) در تلفن همراه کاربر می‏کنند. هرچند در هنگام نصب برنامه درخواست تایید نصب از کاربر گرفته می‏شود، اما این برنامه‏ها با استفاده از عبارات اغواکننده (همانند بروزرسانی، یا استفاده از نام برنامه‏های مطرح) می‌‏توانند تایید نصب را از کاربر بگیرند. نمونه‏هایی از این دانلودرها در پست‏های قبلی همانند پست زیر تحلیل شده است:
https://t.iss.one/bitbaanlab/300
✅ نسخه‏های قبلی نرم‏افزار TeleDR نیز مشابه این دانلودرها عمل کرده و عملا این قانون Google Play را نقض می‏کردند. یعنی درخواستی به سرور که عموما خروجی JSON می‏دهد ارسال می‏کردند و سپس اقدام به دانلود و نصب فایلی که فیلدی از خروجی JSON به آن اشاره می‏کند، می‏نمودند. به همین دلیل Google Play بعد از شناسایی این رفتار مخرب، اقدام به حذف نرم‏افزار TeleDR از فروشگاهش کرده و از توسعه‏دهندگان خواسته است برنامه خود را اصلاح نمایند. همانطور که در شکل ۱ مشخص است دلیل بدافزار شناخته شدن آن نیز به خاطر "نصب کردن برنامه دیگر بدون کسب مجوز" بوده است.
✅ توسعه‏دهندگان TeleDR آنقدر برای بازگرداندن دوباره برنامه به Google Play عجله داشته‏اند، که تغییراتشان بدون دقت و سطحی انجام شده است. آن‏ها به طور کامل مجوز REQUEST_INSTALL_PACKAGES را برداشته‏اند تا بتوانند هر چه سریعتر مجوز انتشار دوباره برنامه را بگیرند. (با اینکه می‏دانستند ایجاد تغییر به این صورت باعث ایجاد اشکالاتی در عملکرد هسته تلگرام خواهد شد.) به عنوان مثال در نسخه جدید TeleDR شما نمی‏توانید برنامه‏ای که خودتان دانلود کرده‏اید و قصد نصب آن را دارید را نصب کنید و با خطایی همانند شکل ۲ روبرو خواهید شد!
⁉️ همچنین لازم به ذکر است بحث‏های مطرح‏شده درباره اینکه این برنامه Open Source یا مبهم‏نشده است، درست نیست.
✅کدی که در github وجود دارد، مربوط به ۱۰ ماه قبل است و حاوی تنها یک Commit می‌باشد. به نظر نمی‌رسد که این کد دقیقا همان کد واقعی TeleDR (حتی نسخه‏های قدیمی) باشد. به خاطر بهینه‌سازی‌های کامپایلر و برخی ایرادات در ابزارهای دی‌کامپایلر نمی‌توان از روی کد مبهم‌نشده به کد اصلی (قبل از کامپایل) رسید. همچنین همانطور که می‌دانید بخش‌هایی از کد تلگرام (و در نتیجه TeleDR) به زبان C نوشته شده است که به زبان ماشین تبدیل می‌شود.
✅ در پایان به کاربران توصیه می‏شود که اگر به فکر امنیت خود هستند، هرگز هرگونه تلگرام غیررسمی را بر روی تلفن همراه خود نصب نکرده و به بهانه عبور از فیلترینگ، حریم شخصی و داده‏های خصوصی خود را به خطر نیندازند و اجازه ندهند که از حساب کاربری آنها سوء استفاده شود.


#گوگل
#پوستهـتلگرام
#بدافزار
#بیتـبان
#TeleDR
@bitbaanlab

♨️ پیرو شناسایی بدافزار کیبورد موبایل با ۱۲ میلیون قربانی♨️
⭕️ بررسی‏های بیت‏بان نشان می‏دهد که صفحه‏کلیدهای تولیدشده توسط شرکت چینی Ziipin جاسوس‏افزارهایی کاملا خطرناک است که تقریبا ۱۲ میلیون قربانی در سراسر جهان داشته است.
⭕️ نسخه فارسی این جاسوس‏افزار نیز یکی از محبوبترین صفحه کلیدهای مجازی در ایران بوده و بیش از ۲۰۰ هزار دانلود داشته است. این بدافزار در اغلب مارکت‌های ایرانی و حتی گوگل پلی وجود دارد.
❗️https://myket.ir/app/com.ziipin.softkeyboard.iran
❗️https://play.google.com/store/apps/details?id=com.ziipin.softkeyboard.iran
⭕️ این برنامه یک صفحه کلید اختصاصی برای سیستم عامل اندروید است که قابلیت‌های زیادی از جمله ایموجی و فونت اختصاصی، امکان تبدیل صوت به متن را دارد.
⭕️ متاسفانه تبلیغات این کیبورد در فضای مجازی به حدی بوده که حتی در سایت‌های خبری رسمی داخلی، همانند تابناک، تبلیغات این برنامه به وفور مشاهده می‌شود.

⭕️ این بدافزار از یک کتابخانه Analytics و Push Notification چینی با نام umeng استفاده می‌کند. این برنامه تمام کارهایی که در تلفن همراه خود می‌کنید، همانند فشردن کلیدها، باز و بسته کردن برنامه‌ها، تغییر جهت صفحه نمایش (Landscape یا Portrait) را به سرور umeng ارسال می‌کند. علاوه بر آن اطلاعات دیگری همانند مدل دستگاه، IMEI، و اطلاعات اپراتور دستگاه نیز به سرور umeng ارسال می‌شود.
⭕️ ما به کمک نرم‌افزار Frida کد ساده زیر را به درون پردازه برنامه تزریق کردیم:
Java.perform(function () {
var MobclickAgent = Java.use("com.umeng.analytics.MobclickAgent");
MobclickAgent.onEvent.overload('android.content.Context', 'java.lang.String', 'java.util.Map').implementation =
function (arg1,arg2,arg3) {
console.log("onEvent called.");
console.log("Arg2=" + arg2);
console.log("Arg3=");
const HashMap = Java.use('java.util.HashMap');
var arg3_cast = Java.cast(arg3, HashMap);
console.log(arg3_cast);
this.onEvent(arg1,arg2,arg3);
};
});

⭕️ این کد تابع OnEvent را Hook کرده و آرگومان‌های ارسالی به آن را نمایش می‌دهد. همانطور که مشاهده می‌شود به ازای هر کلیدی که در تلفن همراه تایپ می‌شود، یک Custom Event تولید شده و در صف ارسال به سرور umeng قرار می‌گیرد.
⭕️ جهت ارسال اطلاعات به سرور از پروتکل HTTP یا HTTPS استفاده می‌شود. البته کلیه اطلاعات ارسالی با الگوریتم اختصاصی umeng رمزشده هستند.
⭕️ این برنامه توسط یک شرکت چینی با نام Ziipin طراحی شده است که آدرس وبسایت آن https://badam.mobi و https://badambiz.com است. این شرکت در وبسایتش ادعا می‌کند که توسط تیمی از اویغورهای چین تشکیل شده است. دولت چین در گذشته اقداماتی در جهت کنترل اویغورها انجام داده است، که یک نمونه از آن‏ها نصب اجباری جاسوس‏افزار بر روی تلفن همراه این اقلیت بوده است.
⭕️ این برنامه در چندین نسخه برای زبان‌های اویغوری، عربی، قزاقی، فارسی، ازبکی، ترکی استانبولی، ترکی آذربایجانی و ارمنی تهیه شده است. در تصویر تعداد نصب این برنامه را در کشورهای مختلف مشاهده می‌کنید.

⭕️ نکته جالب اینجاست که جمعیت کل اویغور زبان‌ها حدود ۱۱ میلیون نفر است، در حالی که تعداد نصب نسخه اویغوری این برنامه به ۵ میلیون نفر می‌رسد، به عبارتی بیش از ۴۵٪ از اویغورها این برنامه را نصب کرده‌اند.
با توجه به پراکندگی قربانیان می‌توان حدس زد که توسعه‌دهندگان این بدافزار وابسته به دولت چین باشند و هدف آن‌ها جاسوسی از مسلمانان بوده است.
✅ قربانیان این برنامه را حذف کنند، سپس رمزعبورهای حساس خود (همانند رمزعبور ایمیل) را تغییر دهند. همچنین توصیه می‌شود برای حفظ امنیت خود از نصب صفحه کلیدهای غیررسمی در تلفن همراه خود خودداری کنید.