⭕️ این بدافزار از یک کتابخانه Analytics و Push Notification چینی با نام umeng استفاده می‌کند. این برنامه تمام کارهایی که در تلفن همراه خود می‌کنید، همانند فشردن کلیدها، باز و بسته کردن برنامه‌ها، تغییر جهت صفحه نمایش (Landscape یا Portrait) را به سرور umeng ارسال می‌کند. علاوه بر آن اطلاعات دیگری همانند مدل دستگاه، IMEI، و اطلاعات اپراتور دستگاه نیز به سرور umeng ارسال می‌شود.
⭕️ ما به کمک نرم‌افزار Frida کد ساده زیر را به درون پردازه برنامه تزریق کردیم:
Java.perform(function () {
var MobclickAgent = Java.use("com.umeng.analytics.MobclickAgent");
MobclickAgent.onEvent.overload('android.content.Context', 'java.lang.String', 'java.util.Map').implementation =
function (arg1,arg2,arg3) {
console.log("onEvent called.");
console.log("Arg2=" + arg2);
console.log("Arg3=");
const HashMap = Java.use('java.util.HashMap');
var arg3_cast = Java.cast(arg3, HashMap);
console.log(arg3_cast);
this.onEvent(arg1,arg2,arg3);
};
});

⭕️ این کد تابع OnEvent را Hook کرده و آرگومان‌های ارسالی به آن را نمایش می‌دهد. همانطور که مشاهده می‌شود به ازای هر کلیدی که در تلفن همراه تایپ می‌شود، یک Custom Event تولید شده و در صف ارسال به سرور umeng قرار می‌گیرد.
⭕️ جهت ارسال اطلاعات به سرور از پروتکل HTTP یا HTTPS استفاده می‌شود. البته کلیه اطلاعات ارسالی با الگوریتم اختصاصی umeng رمزشده هستند.
⭕️ این برنامه توسط یک شرکت چینی با نام Ziipin طراحی شده است که آدرس وبسایت آن https://badam.mobi و https://badambiz.com است. این شرکت در وبسایتش ادعا می‌کند که توسط تیمی از اویغورهای چین تشکیل شده است. دولت چین در گذشته اقداماتی در جهت کنترل اویغورها انجام داده است، که یک نمونه از آن‏ها نصب اجباری جاسوس‏افزار بر روی تلفن همراه این اقلیت بوده است.
⭕️ این برنامه در چندین نسخه برای زبان‌های اویغوری، عربی، قزاقی، فارسی، ازبکی، ترکی استانبولی، ترکی آذربایجانی و ارمنی تهیه شده است. در تصویر تعداد نصب این برنامه را در کشورهای مختلف مشاهده می‌کنید.

⭕️ نکته جالب اینجاست که جمعیت کل اویغور زبان‌ها حدود ۱۱ میلیون نفر است، در حالی که تعداد نصب نسخه اویغوری این برنامه به ۵ میلیون نفر می‌رسد، به عبارتی بیش از ۴۵٪ از اویغورها این برنامه را نصب کرده‌اند.
با توجه به پراکندگی قربانیان می‌توان حدس زد که توسعه‌دهندگان این بدافزار وابسته به دولت چین باشند و هدف آن‌ها جاسوسی از مسلمانان بوده است.
✅ قربانیان این برنامه را حذف کنند، سپس رمزعبورهای حساس خود (همانند رمزعبور ایمیل) را تغییر دهند. همچنین توصیه می‌شود برای حفظ امنیت خود از نصب صفحه کلیدهای غیررسمی در تلفن همراه خود خودداری کنید.

⭕️ این روزها مجدداً شاهد افزایش گسترده پیامک‌های فریبنده هستیم.
⭕️ به پیامک‌ها ناشناس به دیده تردید بنگرید❗️

💐انتشار پلتفرم تحلیل بدافزار بیت‌بان💐
⭕️ همراهان عزیز بیت‌بان، بالاخره نسخه پایلوت «پلتفرم جامع تحلیل بدافزار» که قولش رو به شما داده بودیم آماده شده و از امروز می‌تونید با استفاده از یکی از آدرس‌های زیر این سامانه رو مشاهده و از آن استفاده کنید.
✅ MALab.ir
✅ MALab.BitBaan.com
⭕️ برخی از قابلیت‌هایی که در ویدئوی معرفی پلتفرم (به آدرس زیر) مشاهده می کنید در حال توسعه است و به زودی (طی یکی دو ماه آینده) شما هم می‌تونید تو این سامانه گزارش‌های تحلیلتون رو درج کنید.
✅ https://www.aparat.com/v/o1TIH
⭕️ کمرنگ شدن اطلاع رسانی‌های تیم بیت‌بان در کانال معلول تمرکز بر روی توسعه این پلتفرم بود.
⭕️ زین پس در کانال، اطلاعات عمومی بدافزار کشف شده منتشر می‌شود و اطلاعات تخصصی با ارجاعی به این پلتفرم قابل مشاهده است تا هم متخصصیان حوزه امنیت و هم مخاطبان عمومی ما بتونن از کانال استفاده مفید بکنن.
⭕️ اگر به فایلی مشکوک شدید می‌تونید توی این سامانه بارگذاری کنید و برای بررسی عمیق‌تر، لینک رو برای ادمین کانال ارسال کنید تا گزارش تحلیل دستی نیز برای شما تهیه شود.
🙏 خیلی دوست داریم که نیازمندی‌ها، نواقص، و حتی آسیب‌پذیری‌های سامانه رو به ما اعلام کنید تا بتونیم با کمترین میزان خطا اولین نسخه‌ی پایدار پلتفرم را منتشر کنیم.

https://www.aparat.com/v/oXre0
www.malab.ir
در این دوره آموزشی قصد داریم به صورت خلاصه به بررسی امکانات پلتفرم جامع تحلیل بدافزار بیت‌بان بپردازیم.
بخش اول

#بیت_بان #bit_baan #تحلیل_بدافزار #ضد_بدافزار #MultiAV

https://www.aparat.com/v/dbhHM
در این دوره آموزشی قصد داریم به صورت خلاصه به بررسی امکانات پلتفرم جامع تحلیل بدافزار بیت‌بان بپردازیم.

بخش دوم- جعبه‌شن

#بیت_بان #bit_baan #تحلیل_بدافزار #ضد_بدافزار #MultiAV

https://www.aparat.com/v/T8rcq
در این دوره آموزشی قصد داریم به صورت خلاصه به بررسی امکانات پلتفرم جامع تحلیل بدافزار بیت‌بان بپردازیم.
بخش سوم- تحلیل دستی و منشا انتشار

https://www.aparat.com/v/72oQR
در این دوره آموزشی قصد داریم به صورت خلاصه به بررسی امکانات پلتفرم جامع تحلیل بدافزار بیت‌بان بپردازیم.
بخش آخر - سایر امکانات

فایل‌های مورد نیاز دوره آموزشی پلتفرم جامع تحلیل بدافزار بیت‌بان

❗️خزشگرهای پلتفرم بیت‌بان در دو ماه اخیر بیش از ۲۸۰ برنامه (فایل apk) تولید شده توسط شرکت‌ ارزش افزوده‌ی وادی رایمندان (که در تلگرام و صفحات وب تبلیغ شده بود) را شناسایی کرده است.
⭕️ نمودار تعداد برنامه‌های منتشر شده در هر هفته توسط این شرکت در تصویر نمایش داده شده است.
⭕️ اطلاعات تکمیلی به زودی منتشر می‌شود.
#ارزش_افزوده
#وادی_رایمندان
#بیت_بان

⭕️ همراهان عزیز؛ کانال‌های خبری بیت‌بان در سایر شبکه‌های اجتماعی و پیام‌رسان‌ها راه‌اندازی شده است.
✅ توئیتر
https://twitter.com/bitbaanlab
✅ بله
https://ble.im/bitbaanlab
✅ تلگرام
https://t.iss.one/bitbaanlab
✅ لینکدین
https://www.linkedin.com/in/bitbaanlab
✅ اینستاگرام
https://www.instagram.com/bitbaan.lab
✅ سروش
https://sapp.ir/bitbaanlab
✅ آپارات
https://www.aparat.com/bitbaanlab
✅ فیسبوک
https://www.facebook.com/bitbaanlab

⭕️ قبل از اعتماد به هر مطلبی در فضای مجازی کمی بیندیشیم❗️ چه آنها که می خواهند شما را یکشبه پول‌دار کنند، چه آنها که می خواهند شما را جوان کنند و چه آنها که.‌‌..
⭕️ این ویدئوی دستکاری شده، یک نمونه از روش‌های فریب است که توسط کلاهبرداران در کانال‌های پر مخاطب منتشر شده است.
❗️ویدئوی اصلی در آدرس زیر قابل مشاهده است.
https://ir.voanews.com/a/white-hair-study/3268299.html

⭕️یکی از روش‌های کلاه‌برداری، ارسال ایمیل به صاحبان دامنه‌ها مبنی بر اتمام اعتبار دامنه است.
⭕️ در این نوع کلاه‌برداری،‌ سارق با نمایش مشخصات دامنه (که از اطلاعات whois به دست آمده است) قصد فریب کاربر در جهت خرید یک سرویس SEO بی‌ارزش را دارد.
⭕️ به این‌گونه ایمیل‌ها توجه نکرده و آن‌ها را پوشه اسپم خود منتقل کنید.

⭕️ تیم بیت‌بان بیش از هزار❗️عدد بدافزار تولیدی توسط شرکت وادی رایمندان را در فضای مجازی شناسایی کرده است.
⭕️ اغلب این بدافزارها در تلگرام و صفحات وب منتشر شده‌اند.
⭕️ حجم بدافزارهای شناسایی شده حدود ۱۱.۵ (یازده و نیم❗️) گیگابایت است.
⭕️ تمام این بدافزارها از آدرس زیر در دسترس و قابل دانلود است.
https://malab.bitbaan.com/search/virus-name?keyword=PUP.AndroidOS.IRVAS.Approo
✅ یکی از قابلیت‌های پلتفرم تحلیل بیت‌بان امکان نامگذاری بدافزار و جستجو بر اساس آن است. به عنوان نمونه برای بیش از هزار بدافزار شناسایی شده، خانواده‌ای با نام
PUP.AndroidOS.IRVAS.Approo
در نظر گرفته شده است. بنابراین می‌توان با درج عبارت Approo در بخش جستجوی سامانه به آدرس
https://malab.bitbaan.com/search
به تمام بدافزارهای این خانواده دسترسی پیدا کرد.

🔍 بررسی حیات سرویس‌های ارزش افزوده در ایران:

⁉️سرویس ارزش افزوده چیست؟
⭕️«سرویس‌های ارزش‌افزوده» به سرویس‌هایی گفته می‌شود که در ازای عضویت در آنها، روزانه مبلغی (بین 300 تا 600 تومان) از شارژ کاربر کسر می‌شود.

⁉️ آیا سرويس ارزش افزوده در ایران مفید بوده است؟
🚫متاسفانه این سرویس‌ها نه تنها سودی برای مردم نداشته اند، بلکه بستری برای سودجویی و سواستفاده میلیاردی از کاربران موبایل شده است.
‼️برای درک بهتر نحوه سواستفاده این سرویس‌ها بهتر است نگاهی به تاریخچه سرویس‌های ارزش افزوده بیندازیم.

1/4

❇️ اولین نسل سرویس های ارزش افزوده: سرویس‌های پیامکی

⭕️سرویس های پیامکی نخستین سرویس های ارزش افزوده به حساب می‌آیند که در آنها در ازای دریافت پیامکی حاوی اطلاعات عمومی و ... روزانه هزینه ای از کاربر کسر می‌شد.

⭕️پیامک های مزاحم و تبلیغاتی «عدد x را بفرست به Y تا ...» از جمله یادگارهای این سرویس ها است.

2/4

❇️❇️ دومین نسل سرویس های ارزش افزوده: برنامه های کاربردی


⭕️با فراگیر شدن موبایل های هوشمند و دستگاه های اندرویدی، سرویس های پیامکی جای خود را به سرویس های ارزش افزوده بر بستر برنامه های کاربردی دادند. به نحوی که در ازای استفاده از برنامه، روزانه مبلغی از کاربر کسر می شد.

❌به دلیل کیفیت پایین سرویس ها و خدمات ارائه شده و درنتیجه، عدم استقبال کاربران از چنین برنامه هایی، شرکت های ارزش افزوده تصمیم گرفتند از روش های دیگری برای عضوگیری کاربران استفاده کنند. از این رو بدافزارهای ارزش افزوده پا به عرصه گذاشتند.

1️⃣موج اول بدافزارهای ارزش افزوده: بدافزارهايي که مجوز ارسال پيامک داشتند و پس از نصب، عدد X را به شماره Y ارسال می‌کردند.

✅برای جلوگیری از این بدافزارها، قانونی گذاشته شد که کاربر پس از ارسال پيامک درخواست فعال‌سازی، کد تاييد d نيز به سرشماره ارسال کند. اين قانون باعث به وجود آمدن موج دوم بدافزارهاي ارزش افزوده شد.

2️⃣موج دوم بدافزارهای ارزش افزوده: پديد آمدن بدافزارهايي با مجوز ارسال پيامک، که پس از گذشت زمان ثابتی از پيامک اولیه درخواست فعال‌سازی، کد تاييد ثابتی (مثلا عدد ۱) را ارسال می‌کردند.

✅برای مبارزه با موج دوم بدافزارها، سرویس‌های ارزش‌افزوده ملزم شدند از کدهای ۴ رقمي که به ازاي هر بار درخواست متفاوت هستند، به‌عنوان کد تاييد استفاده کنند.


3️⃣موج سوم بدافزارهای ارزش افزوده: انتشار بدافزارهايي باقابلیت ارسال، دريافت و خواندن پيامک. اين بدافزارها پس از ارسال خودکار درخواست عضويت، منتظر دريافت پيامک می‌شدند و با استفاده از مجوز دريافت و خواندن پيامک، کد تاييد را استخراج کرده و ارسال می‌کردند.


4️⃣موج چهارم بدافزارهای ارزش افزوده: انتشار برنامه هایی جعلی با عناوین جذاب که برای استفاده از آنها، کاربر باید عضو سرویس ارزش افزوده ی نامرتبطی می‌شد.


5️⃣موج پنجم بدافزارهای ارزش افزوده: انتشار بدافزارهایی که صفحات لندینگ عضویت در سرویس ارزش افزوده را در وب ویو باز کرده و شماره کاربر را مخفیانه در آن وارد می‌کنند. در قدم بعدی، بدافزار پیامک تایید دریافت شده را در صفحه وارد کرده و مخفیانه کاربر را عضو سرویس می‌کند.


🔴علاوه بر انتشار بدافزار و استفاده از تکنیک های شارژ هرمی، قمار و بخت آزمایی نیز روش دیگر عضو گیری در سرویس های ارزش افزوده است.
درواقع کاربران با وعده برنده شدن جوایز مختلف (از اینترنت و شارژ رایگان تا اتومبیل و آپارتمان) عضو این سرویس ها می‌شدند. این روال تا جایی ادامه پیدا کرد که در تمامی برنامه های تلویزیونی ردی از این سرویس‌ها به چشم می‌خورد.

🔴درحال حاضر نیز پول های بادآورده در این کسب و کار خرج تبلیغات تلگرامی و اینستاگرامی نامتعارفی میشود که اغلب برخلاف موازین شرعی هستند.

3/4

‼️متاسفانه وضع قوانین جدید در این حوزه تاکنون نتوانسته است موثر باشد و با تغییر قوانین، تنها نسل جدیدی از بدافزارها تولید شده‌اند.

⛔️⭕️لازم به ذکر است که پس از ریشه یابی هر یک از این بدافزارها، مشخص شد که در اغلب موارد توسعه دهنده بدافزارها در شرکت سرویس دهنده خدمات ارزش افزوده مشغول به کار هستند و بدافزارها منشا داخلی دارند.

⁉️اما سوال اینجا است که آیا سرویسی که دارای محتوای «باارزش» است، نیازی به این روش ها دارد؟

⭕️متاسفانه تعداد سرویس های مفید و با ارزش، در میان سرویس های ارزش افزوده، بسیار کم است و بیشتر کاربران این سرویس ها اطلاعی از عضویت خود در سرویس ندارند. همچنین اغلب برنامه های این حوزه محتوای رایگان موجود در اینترنت را در برنامه های خود قرار داده اند و یا برنامه های رایگان خارجی یا ایرانی موجود در فروشگاه های اندرویدی را به عنوان سرویس خود ارائه کرده اند.


⁉️آیا سرویس های ارزش افزوده ی «با ارزش» با پایان یافتن این نحوه پرداخت متضرر می‌شوند؟

⭕️شرکت های ارائه دهنده محتوای با ارزش اغلب روش های پرداخت مختلفی را پیش روی کاربران خود قرار می‌دهند که یکی از آنها پرداخت از طریق موبایل (سرویس ارزش افزوده) است. با بسته شدن این روش پرداخت، کاربران این سرویس ها می‌توانند از سایر روش های پرداخت استفاده کنند. در نتیجه این شرکت ها متحمل ضرری نخواهند شد.

✅پایان (!) سرویس های ارزش افزوده برابر است با پایان عمر مجموعه بزرگی از بدافزارها، و متوقف شدن بودجه بادآورده ای که خرج تبلیغات این سرویس ها می‌شدند.

✅ گام بعد، شناسایی سود جویان و جبران خسارات قربانیان است.

4/4