هشدار به والدین و دانش آموزان، کمپین انتشار بدافزار سارق اطلاعات بانکی با نام «سیدا»، در روزهای باقی‌مانده تا شروع سال تحصیلی جدید

اخبار داغ فناوری اطلاعات و امنیت شبکه

کمپین انتشار بدافزار سارق اطلاعات بانکی با نام «سیدا»، در روزهای باقی‌مانده تا شروع سال تحصیلی جدید

پژوهشگران امنیتی تیم تاکیان، طی روزهای منتهی به آغاز سال تحصیلی جدید نمونه‌ای از یک بستهٔ نصب اندرویدی با نام «سیدا» را شناسایی کردند که دارای چندین نشان‌گر خطر امنیتی است. تحلیل ایستا نشان می‌دهد این اپ شامل ارجاع‌هایی به توابع مرتبط با اطلاعات سیم‌کارت، قابلیت بارگذاری دینامیک کد (DexClassLoader) و چندین SDK تبلیغاتی است. ترکیب این ویژگی‌ها، همراه با حجم زیاد فایل‌های داخلی نامرتبط، این برنامه را به شدت مشکوک می‌سازد و می‌تواند تهدیدی برای حریم خصوصی و اطلاعات حساس کاربران باشد. لذا به والدین، دانش‌آموزان و کاربران به‌شدت توصیه می‌شوند از دانلود یا نصب هرگونه اپ غیررسمی و لینک‌های ناشناس خودداری کنند. در صورت نصب اپ «سیدا» یا مشاهدهٔ رفتار مشکوک (ارسال پیامک‌های نامتعارف، مصرف بالای دیتای پس‌زمینه، درخواست مجوزهای حساس) بلافاصله دسترسی تلفن همراه به اینترنت را قطع نموده، اپ را حذف و با بانک و تیم امنیتی تماس بگیرند.

این نرم افزار سعی دارد با سواستفاده از نام سامانه اینترنتی سیدا (سامانه یکپارچه دانش آموزی) به ادرس https://sida.medu.ir اقدام به انتشار بدافزار در شبکه های اجتماعی شاد نمایند. لذا با ارسال پیام های مختلف در این شبکه اجتماعی (با نام های کاربری مختلف از جمله @sfgsdfgsfdg مدیریت آموزش) با ادبیات تطمیع کننده و تحریک والدین به نصب این بدافزار، سعی در انتشار گسترده آن دارند.

هشدار عملی برای خانواده‌ها:

نصب نکنید: از نصب اپ از منابع غیررسمی (لینک‌های پیام‌رسان، وب‌سایت‌های نامعتبر یا فایل‌های ارسالی) جداً خودداری کنید.
اگر نصب کردید: فوراً دستگاه را از شبکه Wi‑Fi و دیتا جدا کنید، از اطلاعات ضروری نسخه پشتیبان امن تهیه کنید، و دستگاه را برای بررسی به یک مرکز قابل‌اعتماد بسپارید یا پس از گرفتن پشتیبان ایمن، اقدام به Factory Reset کنید.
رمزهای بانکی و کارت: در صورت نصب اپ روی دستگاه، سریعاً رمزهای عبور حساب‌های بانکی و پین‌های مرتبط را تغییر دهید و تراکنش‌های بانکی اخیر را زیر نظر داشته باشید. در صورت هر تراکنش مشکوک، به بانک و مراجع قضایی اطلاع دهید.
استفاده از ضدبدافزار: از یک برنامه امنیتی موبایل معتبر و به‌روز برای اسکن استفاده کنید، هرچند که برخی از ابزارهای پَکر تشخیص این نوع بدافزارها را دشوار می‌کنند.
قبل از نصب، مجوزها (Permissions) را بررسی کنید: اپ‌هایی که بدون دلیل به SMS، مخاطبین، دوربین یا دسترسی مدیریت دستگاه نیاز دارند مشکوک‌ هستند و در نصب آنها تردید داشته باشید.

توضیحات برای تیم‌های فنی:

این اپ در نسخ مختلف (فعلا نسخه SIDA-v8453.apk و نسخه SIDA-v9655.apk ) در سرویس‌های بررسی نمونه نیز گزارش شده و تحلیل اولیه نشان می‌دهد بخش‌هایی از آن محافظت (packed/obfuscated) شده‌اند. به عبارت دیگر بسیاری از بخش‌ها در زمان اجرا رمزگشایی می‌شوند و امکان بررسی مستقیم ایستا را دشوار می‌سازند. افزون بر این، فایل شامل ماژول‌های نیتیو در بخش assets است که ممکن است رفتار حساس را در سطح باینری اجرا کنند.

اندازه فایل ها: تقریباً 7.5 مگابایت. بسیاری از ورودی‌های داخل APK با فلگ «encrypted» در ZIP ذخیره شده‌اند؛ این نشانه‌ای از به‌کارگیری پَکر/محافظ است که کد واقعی را هنگام اجرا رمزگشایی می‌کند.
گواهی امضا: فایل شامل گواهی X.509 در META-INF بود که مشخصات subject استخراج‌شده شامل Country=IR, CN=Manager, O=Naja, givenName=Neda, surname=Mousavi,email=این آدرس ایمیل توسط spambots حفاظت می شود. برای دیدن شما نیاز به جاوا اسکریپت دارید و همچنین C:IR, CN:Manager, O:Naja, GN:Reza, serialNumber:8521454522, SN:Mousavi, email:این آدرس ایمیل توسط spambots حفاظت می شود. برای دیدن شما نیاز به جاوا اسکریپت داریداست (این داده صرفاً از خود فایل استخراج شده و تأیید رسمی منبع را به‌معنی حقیقی نشان نمی‌دهد).
تحلیل ایستا محدود: به دلیل پَکینگ، فهرست کامل permissions و کد Dalvik قابل استخراج مستقیم نبود؛ برای تعیین دقیقِ عملکردهای مخرب مانند ارسال SMS، سرقت کارت یا keylogging ، تحلیل داینامیک در سندباکس ایزوله لازم است.

Malware Report SIDA v8453.apk Virustotal
Malware Report SIDA v9655.apk Virustotal

شاخص‌ها و نشانه‌های فنی (IOCs):

SIDA-v9655.apk :

Report : https://www.virustotal.com/gui/file/c5ffe01e831aec40ff4a945bff73e67b570cef99
MD5 : b6aa0442419484f48dc5710f58959472
SHA-1 : 4da06f93401194b290d9e2ce1601363fc1c491d0
SHA-256 : c5ffe01e831aec40ff4a945bff73e67b570cef996c00cae6f333df26f7190846
Vhash : 60eab6ab4ea3c97e75993cb51e0ee568
SSDEEP : 196608:2ki6us5pSA7D2n6MBWgKYsn2HSVilUieINg/WglQfrM5T5yq:2ki6us5f/+dKdTkmDT5t
TLSH : T139762342FA65E96FC4F3D33218B152392032DD12C703A787A46573BA64FBAD40F966E1

SIDA-v8453.apk :

Report : https://www.virustotal.com/gui/file/c8610f11276bc40cd9fe78418e4d4335c794a13a8df35492963466620e0be72b/details
6c00cae6f333df26f7190846/details
MD5 : d22902eef3a28f8de1b0a31a18360760
SHA-1 : f8517326026eafe940ea5daf96c6c3dae1adc927
SHA-256 : c8610f11276bc40cd9fe78418e4d4335c794a13a8df35492963466620e0be72b
Vhash : 60eab6ab4ea3c97e75993cb51e0ee568
SSDEEP : 196608:152WSeTyTzvs/FjM6SAFSI0HwdOEv0ROrKXqrHWbNo5s:152jJHs/q1AFwHN8IOrK6rH+No5s
TLSH : T141762386FB59E64FC8F3D33618B556352032DC66C753E387682473B828BBAE41B466D0

برچسب ها: SIDA-v8453.apk, SIDA-v9655.apk, سال تحصیلی, SIDA, SIDA Malware, سیدا, بدافزار سیدا, تجهیزات اندرویدی, اندروید, بدافزار

نوشته شده توسط تیم خبر.

چاپ ایمیل

IPImen ، Firewall ، NGFirewall-UTM، آیپی ایمن، فایروال ایرانی ، فایروال بومی، یوتی ام بومی، یوتی ام ایرانی، فایروال نسل بعدی ایرانی، فایروال نسل بعدی بومی