⁉️ آیا اگر به فایلی مشکوک شدیم تحلیل و بررسی آن فایل با چند ابزار ضدبدافزار کفایت میکنه؟
⭕️ اگر چه نخستین قدم در تحلیل یک فایل مشکوک، بررسی آن با چند ابزار ضدبدافزار است اما این قدم، هرچند لازم، به تنهایی کافی نیست.
⭕️ به ویژه در حوزه بدافزارهای ارزش افزوده، به دلیل آنکه این بدافزارها از خلاء‌های قانونی موجود در کشور و عدم آگاهی کاربران سوء استفاده می‌کنند، تقریبا تمام ضدبدافزارهای خارجی و داخلی، این دسته بدافزارها را شناسایی نمی‌کنند.
⭕️ در روزهای آینده پلتفرم تحلیل بدافزار بیت‌بان برای تحلیل بدافزارها در اختیار عموم قرار خواهد گرفت.

تیم بیت‌بان عید سعید فطر رو به همه همراهان عزیز کانال تبریک عرض می‌کند.
طاعات و عباداتتون مقبول درگاه حق

🔥🔥🔥خبر فوری 🔥🔥🔥
⭕️ آزمایشگاه بیت‌بان بدافزاری مبتنی بر صفحه کلید غیررسمی با ۱۲ میلیون قربانی شناسایی کرده است که به صورت جاسوس افزار و کیلاگر تمام دکمه‌های فشرده شده توسط کاربر بر روی تلفن همراه را به سمت سرور ارسال می‌کند.

✅ تنها از صفحه کلید اصلی سیستم‌عامل اندروید استفاده کنید.
❌ از نصب و استفاده هر گونه صفحه کلید غیررسمی بر روی تلفن همراه خودداری کنید.
❌ هرگز از صفحه کلید رام‌های سفارشی نامعتبر استفاده نکنید.

‼️ گزارش تکمیلی در خصوص این بدافزار به زودی منتشر خواهد شد.
#بیت_بان
#خبر_فوری
#بدافزار
#اندروید

❗️هشدار❗️ برخی برنامه‌ها با استفاده از سرویس
Push Notification
به قربانی پیغامی مبنی بر آلودگی دستگاهش به ویروس می‌دهند و وی را ترغیب می‌کنند که جهت حذف ویروس ضدویروسی را نصب نماید.
⭕️ضدویروس‌های معرفی شده توسط این پیغام‌ها جعلی بوده و نه تنها هیچ راهکاری برای مبارزه با بدافزارها ارائه نمی‌دهند، بلکه با ارائه مکرر تبلیغات به قربانی، از وی سوء استفاده و کسب درآمد می‌کنند.
#بیتـبان
#آنتیـویروسـجعلی
#سوءـاستفاده

⭕️ همانطور که قبلا نیز هشدار داده شد به هیچ وجه از پوسته‌های سفارشی تلگرام استفاده نکنید.
⭕️ اخیرا گوگل اقدام به حذف پوسته‌ی TeleDR که توسط شبکه‌های ماهواره‌ای و کانال‌های خبری خارجی معرفی شده بود کرده است.
⭕️ این اقدام گوگل نشان دهنده آن است که این شرکت تفاوتی بین پوسته‌های داخلی و خارجی قائل نیست، و پوسته‌‌هایی که ناقض حریم خصوصی کاربران هستند را به محض شناسایی حذف می‌کند.
#بدافزار
#پوسته_تلگرام
#گوگل
#بیت_بان
@bitbaanlab

✅ توجه: پیرو حذف پوسته تلگرام TeleDR از گوگل پلی و بازگشت مجدد آن:
⭕️ برای آزمایشگاه بیت‌بان محرز است که بین نسخه قبلی (پاک شده توسط گوگل) و نسخه فعلی این برنامه در گوگل تفاوت وجود دارد و توسعه دهنده با حذف کدهای ناقض حریم خصوصی کاربر توانست مجوز انتشار دوباره برنامه را در Google Play بگیرد.
⭕️ در تصویر بالا، مقایسه‏ای بین کدهای نسخه قدیم TeleDR (که حاوی کدهای مخرب بود) و نسخه جدید (که کدهای مخرب حذف شده است) ارائه شده است.
⭕️ به عنوان مثال این نرم‏افزار مجوز REQUEST_INSTALL_PACKAGES دریافت می‏کرد. سپس در پس‏زمینه بدون اجازه کاربر یک درخواست به https://d1ra5t3jiquy8n.cloudfront.net/ver-com.teledr.json ارسال کرده و اقدام به دانلود و نصب برنامه‏ای که در پاسخ درخواست بالا وجود داشت (فیلد apkUrl)، می‏کرد.
⭕️ البته همچنان نمی‏توان به این برنامه و سایر تلگرام‏های غیررسمی اعتماد نمود. نسخه جدید همچنان رفتارهای مشکوکی (همانند برخی ارتباطات با دامنه iranian.app، نمایش تبلیغات جهت دار و...) دارد که می‏تواند ناقض حریم خصوصی کاربران باشد.

#بیت_بان
#بدافزار
#پوسته_تلگرام
@bitbaanlab

⭕️توضیحات تکمیلی درباره برنامه TeleDR 👇

⁉️ برخی از مخاطبین کانال مطرح کرده بودند که مجوز REQUEST_INSTALL_PACKAGES، مجوز خطرناکی نیست و خود تلگرام نیز دارای این مجوز است.
✅ در پاسخ به این ابهام باید گفت که هرچند نسخه اصلی تلگرام نیز دارای این مجوز است، اما کاربرد این مجوز بین نسخه اصلی تلگرام و نرم‏افزار TeleDR متفاوت است. نسخه اصلی تلگرام از این مجوز برای نصب فایل‏های APK که خود کاربر دانلود کرده است، استفاده می‏کند. در صورتی که TeleDR خود اقدام به دانلود برنامه مورد نظر می‌کند و نه کاربر.
✅ گوگل برای انتشار برنامه در Google Play قوانینی وضع کرده است که در آدرس زیر قابل مشاهده است:
https://play.google.com/about/privacy-security-deception/malicious-behavior/
یکی از مواردی که در قوانین بالا ممنوع اعلام شده است، عبارت است از:
Apps or SDKs that download executable code, such as dex files or native code, from a source other than Google Play.
قانون بالا می‏گوید هیچ برنامه‏ای نباید از خارج از Google Play یک فایل اجرایی دلخواه را دانلود و نصب نماید مگر اینکه دلیل مشخصی برای انجام آن کار داشته باشد.
✅ با بررسی ساده در کانال‌های تلگرامی، هزاران بدافزار تبلیغاتی (عموما برای عضو کردن کاربر در سرویس‏های ارزش افزوده) خواهید دید که از مجوز REQUEST_INSTALL_PACKAGES سوء استفاده کرده و اقدام به دانلود و ارسال درخواست نصب بدافزار دیگر (که عموما در Google Play نیستند و در نتیجه از فیلترهای گوگل عبور نکرده‏اند) در تلفن همراه کاربر می‏کنند. هرچند در هنگام نصب برنامه درخواست تایید نصب از کاربر گرفته می‏شود، اما این برنامه‏ها با استفاده از عبارات اغواکننده (همانند بروزرسانی، یا استفاده از نام برنامه‏های مطرح) می‌‏توانند تایید نصب را از کاربر بگیرند. نمونه‏هایی از این دانلودرها در پست‏های قبلی همانند پست زیر تحلیل شده است:
https://t.iss.one/bitbaanlab/300
✅ نسخه‏های قبلی نرم‏افزار TeleDR نیز مشابه این دانلودرها عمل کرده و عملا این قانون Google Play را نقض می‏کردند. یعنی درخواستی به سرور که عموما خروجی JSON می‏دهد ارسال می‏کردند و سپس اقدام به دانلود و نصب فایلی که فیلدی از خروجی JSON به آن اشاره می‏کند، می‏نمودند. به همین دلیل Google Play بعد از شناسایی این رفتار مخرب، اقدام به حذف نرم‏افزار TeleDR از فروشگاهش کرده و از توسعه‏دهندگان خواسته است برنامه خود را اصلاح نمایند. همانطور که در شکل ۱ مشخص است دلیل بدافزار شناخته شدن آن نیز به خاطر "نصب کردن برنامه دیگر بدون کسب مجوز" بوده است.
✅ توسعه‏دهندگان TeleDR آنقدر برای بازگرداندن دوباره برنامه به Google Play عجله داشته‏اند، که تغییراتشان بدون دقت و سطحی انجام شده است. آن‏ها به طور کامل مجوز REQUEST_INSTALL_PACKAGES را برداشته‏اند تا بتوانند هر چه سریعتر مجوز انتشار دوباره برنامه را بگیرند. (با اینکه می‏دانستند ایجاد تغییر به این صورت باعث ایجاد اشکالاتی در عملکرد هسته تلگرام خواهد شد.) به عنوان مثال در نسخه جدید TeleDR شما نمی‏توانید برنامه‏ای که خودتان دانلود کرده‏اید و قصد نصب آن را دارید را نصب کنید و با خطایی همانند شکل ۲ روبرو خواهید شد!
⁉️ همچنین لازم به ذکر است بحث‏های مطرح‏شده درباره اینکه این برنامه Open Source یا مبهم‏نشده است، درست نیست.
✅کدی که در github وجود دارد، مربوط به ۱۰ ماه قبل است و حاوی تنها یک Commit می‌باشد. به نظر نمی‌رسد که این کد دقیقا همان کد واقعی TeleDR (حتی نسخه‏های قدیمی) باشد. به خاطر بهینه‌سازی‌های کامپایلر و برخی ایرادات در ابزارهای دی‌کامپایلر نمی‌توان از روی کد مبهم‌نشده به کد اصلی (قبل از کامپایل) رسید. همچنین همانطور که می‌دانید بخش‌هایی از کد تلگرام (و در نتیجه TeleDR) به زبان C نوشته شده است که به زبان ماشین تبدیل می‌شود.
✅ در پایان به کاربران توصیه می‏شود که اگر به فکر امنیت خود هستند، هرگز هرگونه تلگرام غیررسمی را بر روی تلفن همراه خود نصب نکرده و به بهانه عبور از فیلترینگ، حریم شخصی و داده‏های خصوصی خود را به خطر نیندازند و اجازه ندهند که از حساب کاربری آنها سوء استفاده شود.


#گوگل
#پوستهـتلگرام
#بدافزار
#بیتـبان
#TeleDR
@bitbaanlab

♨️ پیرو شناسایی بدافزار کیبورد موبایل با ۱۲ میلیون قربانی♨️
⭕️ بررسی‏های بیت‏بان نشان می‏دهد که صفحه‏کلیدهای تولیدشده توسط شرکت چینی Ziipin جاسوس‏افزارهایی کاملا خطرناک است که تقریبا ۱۲ میلیون قربانی در سراسر جهان داشته است.
⭕️ نسخه فارسی این جاسوس‏افزار نیز یکی از محبوبترین صفحه کلیدهای مجازی در ایران بوده و بیش از ۲۰۰ هزار دانلود داشته است. این بدافزار در اغلب مارکت‌های ایرانی و حتی گوگل پلی وجود دارد.
❗️https://myket.ir/app/com.ziipin.softkeyboard.iran
❗️https://play.google.com/store/apps/details?id=com.ziipin.softkeyboard.iran
⭕️ این برنامه یک صفحه کلید اختصاصی برای سیستم عامل اندروید است که قابلیت‌های زیادی از جمله ایموجی و فونت اختصاصی، امکان تبدیل صوت به متن را دارد.
⭕️ متاسفانه تبلیغات این کیبورد در فضای مجازی به حدی بوده که حتی در سایت‌های خبری رسمی داخلی، همانند تابناک، تبلیغات این برنامه به وفور مشاهده می‌شود.

⭕️ این بدافزار از یک کتابخانه Analytics و Push Notification چینی با نام umeng استفاده می‌کند. این برنامه تمام کارهایی که در تلفن همراه خود می‌کنید، همانند فشردن کلیدها، باز و بسته کردن برنامه‌ها، تغییر جهت صفحه نمایش (Landscape یا Portrait) را به سرور umeng ارسال می‌کند. علاوه بر آن اطلاعات دیگری همانند مدل دستگاه، IMEI، و اطلاعات اپراتور دستگاه نیز به سرور umeng ارسال می‌شود.
⭕️ ما به کمک نرم‌افزار Frida کد ساده زیر را به درون پردازه برنامه تزریق کردیم:
Java.perform(function () {
var MobclickAgent = Java.use("com.umeng.analytics.MobclickAgent");
MobclickAgent.onEvent.overload('android.content.Context', 'java.lang.String', 'java.util.Map').implementation =
function (arg1,arg2,arg3) {
console.log("onEvent called.");
console.log("Arg2=" + arg2);
console.log("Arg3=");
const HashMap = Java.use('java.util.HashMap');
var arg3_cast = Java.cast(arg3, HashMap);
console.log(arg3_cast);
this.onEvent(arg1,arg2,arg3);
};
});

⭕️ این کد تابع OnEvent را Hook کرده و آرگومان‌های ارسالی به آن را نمایش می‌دهد. همانطور که مشاهده می‌شود به ازای هر کلیدی که در تلفن همراه تایپ می‌شود، یک Custom Event تولید شده و در صف ارسال به سرور umeng قرار می‌گیرد.
⭕️ جهت ارسال اطلاعات به سرور از پروتکل HTTP یا HTTPS استفاده می‌شود. البته کلیه اطلاعات ارسالی با الگوریتم اختصاصی umeng رمزشده هستند.
⭕️ این برنامه توسط یک شرکت چینی با نام Ziipin طراحی شده است که آدرس وبسایت آن https://badam.mobi و https://badambiz.com است. این شرکت در وبسایتش ادعا می‌کند که توسط تیمی از اویغورهای چین تشکیل شده است. دولت چین در گذشته اقداماتی در جهت کنترل اویغورها انجام داده است، که یک نمونه از آن‏ها نصب اجباری جاسوس‏افزار بر روی تلفن همراه این اقلیت بوده است.
⭕️ این برنامه در چندین نسخه برای زبان‌های اویغوری، عربی، قزاقی، فارسی، ازبکی، ترکی استانبولی، ترکی آذربایجانی و ارمنی تهیه شده است. در تصویر تعداد نصب این برنامه را در کشورهای مختلف مشاهده می‌کنید.

⭕️ نکته جالب اینجاست که جمعیت کل اویغور زبان‌ها حدود ۱۱ میلیون نفر است، در حالی که تعداد نصب نسخه اویغوری این برنامه به ۵ میلیون نفر می‌رسد، به عبارتی بیش از ۴۵٪ از اویغورها این برنامه را نصب کرده‌اند.
با توجه به پراکندگی قربانیان می‌توان حدس زد که توسعه‌دهندگان این بدافزار وابسته به دولت چین باشند و هدف آن‌ها جاسوسی از مسلمانان بوده است.
✅ قربانیان این برنامه را حذف کنند، سپس رمزعبورهای حساس خود (همانند رمزعبور ایمیل) را تغییر دهند. همچنین توصیه می‌شود برای حفظ امنیت خود از نصب صفحه کلیدهای غیررسمی در تلفن همراه خود خودداری کنید.

⭕️ این روزها مجدداً شاهد افزایش گسترده پیامک‌های فریبنده هستیم.
⭕️ به پیامک‌ها ناشناس به دیده تردید بنگرید❗️

💐انتشار پلتفرم تحلیل بدافزار بیت‌بان💐
⭕️ همراهان عزیز بیت‌بان، بالاخره نسخه پایلوت «پلتفرم جامع تحلیل بدافزار» که قولش رو به شما داده بودیم آماده شده و از امروز می‌تونید با استفاده از یکی از آدرس‌های زیر این سامانه رو مشاهده و از آن استفاده کنید.
✅ MALab.ir
✅ MALab.BitBaan.com
⭕️ برخی از قابلیت‌هایی که در ویدئوی معرفی پلتفرم (به آدرس زیر) مشاهده می کنید در حال توسعه است و به زودی (طی یکی دو ماه آینده) شما هم می‌تونید تو این سامانه گزارش‌های تحلیلتون رو درج کنید.
✅ https://www.aparat.com/v/o1TIH
⭕️ کمرنگ شدن اطلاع رسانی‌های تیم بیت‌بان در کانال معلول تمرکز بر روی توسعه این پلتفرم بود.
⭕️ زین پس در کانال، اطلاعات عمومی بدافزار کشف شده منتشر می‌شود و اطلاعات تخصصی با ارجاعی به این پلتفرم قابل مشاهده است تا هم متخصصیان حوزه امنیت و هم مخاطبان عمومی ما بتونن از کانال استفاده مفید بکنن.
⭕️ اگر به فایلی مشکوک شدید می‌تونید توی این سامانه بارگذاری کنید و برای بررسی عمیق‌تر، لینک رو برای ادمین کانال ارسال کنید تا گزارش تحلیل دستی نیز برای شما تهیه شود.
🙏 خیلی دوست داریم که نیازمندی‌ها، نواقص، و حتی آسیب‌پذیری‌های سامانه رو به ما اعلام کنید تا بتونیم با کمترین میزان خطا اولین نسخه‌ی پایدار پلتفرم را منتشر کنیم.

https://www.aparat.com/v/oXre0
www.malab.ir
در این دوره آموزشی قصد داریم به صورت خلاصه به بررسی امکانات پلتفرم جامع تحلیل بدافزار بیت‌بان بپردازیم.
بخش اول

#بیت_بان #bit_baan #تحلیل_بدافزار #ضد_بدافزار #MultiAV

https://www.aparat.com/v/dbhHM
در این دوره آموزشی قصد داریم به صورت خلاصه به بررسی امکانات پلتفرم جامع تحلیل بدافزار بیت‌بان بپردازیم.

بخش دوم- جعبه‌شن

#بیت_بان #bit_baan #تحلیل_بدافزار #ضد_بدافزار #MultiAV

https://www.aparat.com/v/T8rcq
در این دوره آموزشی قصد داریم به صورت خلاصه به بررسی امکانات پلتفرم جامع تحلیل بدافزار بیت‌بان بپردازیم.
بخش سوم- تحلیل دستی و منشا انتشار

https://www.aparat.com/v/72oQR
در این دوره آموزشی قصد داریم به صورت خلاصه به بررسی امکانات پلتفرم جامع تحلیل بدافزار بیت‌بان بپردازیم.
بخش آخر - سایر امکانات

فایل‌های مورد نیاز دوره آموزشی پلتفرم جامع تحلیل بدافزار بیت‌بان

❗️خزشگرهای پلتفرم بیت‌بان در دو ماه اخیر بیش از ۲۸۰ برنامه (فایل apk) تولید شده توسط شرکت‌ ارزش افزوده‌ی وادی رایمندان (که در تلگرام و صفحات وب تبلیغ شده بود) را شناسایی کرده است.
⭕️ نمودار تعداد برنامه‌های منتشر شده در هر هفته توسط این شرکت در تصویر نمایش داده شده است.
⭕️ اطلاعات تکمیلی به زودی منتشر می‌شود.
#ارزش_افزوده
#وادی_رایمندان
#بیت_بان