پژوهشگران Trend Micro چندین برنامه در قالب پلتفرمهای پیامرسان صوتی قانونی را در فروشگاه Google Play مشاهده کردند که دارای قابلیتهای مخرب هستند.نمونههای مختلف برنامههای مخرب مشاهده شده از ماه اکتبر در گوگل پلی بارگذاری شدهاند که قابلیتهای آنها در هر نسخه تکامل یافته است. به نظر میرسد که مجرمین سایبری در حال افزودن ویژگیهای جدیدی هستند تا فعالیتهای مخربی از جمله حملات باتنت انجام دهند.بسیاری از این برنامههای جعلی از Google Play حذف شدهاند.پژوهشگران Trend Micro برخی از نمونههای مخرب را مورد تحلیل و بررسی قرار دادهاند. در نمونههای بررسی شده، رفتار برنامه و نوع کدنویسی مشابه بوده است که به نظر میرسد مجرمین سایبری در حال توسعه ماژولهای اضافی و انتشار برنامههای مخرب بیشتری هستند.
زمانی که برنامه مخرب روی گوشی قربانی نصب میشود، بدنه و payload را از سرور C&C دریافت میکند و آنرا رمزگذاری و اجرا میکند. این بدنه دارای سه ماژول است. ماژول اول که Icon نام دارد، آیکون برنامه را مخفی میکند تا از حذف برنامه توسط کاربر جلوگیری کند. ماژول دوم، با نام Wpp، میتواند مرورگر را باز کند و به آدرسهای دلخواه دسترسی یابد.با استفاده از ماژول دوم، بدافزار یک فرم نظرسنجی را برای کاربر باز میکند تا به ازای ارائه کارتهای هدیه به قربانی، اطلاعات شخصی وی از جمله نام، شمارههای تماس و آدرس محل سکونت را جمعآوری کند. این ماژول همچنین آگهیهای جعلی نیز به کاربر نشان میدهد.ماژول سوم Socks نام دارد که برای انجام درخواستهای DNS طراحی شده است. با توجه به اینکه پژوهشگران ارتباطی با سرور مشاهده نکردند، بنظر میرسد که این ویژگی در حال توسعه است.گوگل این برنامههای پیامرسان صوتی مخرب را از Google Play حذف کرده است.
نشانههای آلودگی (IoC) شامل موارد زیر است:
URL برنامهها و هش آنها:
• com.bitv.freeaudiomessages:
۳f۷b۳۶۷۴۸۸e۷۶۱f۸۹b۴adeb۵dc۱b۹۶۱۷۶۶c۲۳۸d۴۱ebb۹fbd۷۲۶da۸۴۹۹d۱fce۲۶
• com.wififree.messenger:
۷a۴۸۱۳f۶۸۹۳۶a۳۷fce۳۶۶۱۵۴a۶۰۸ad۳۰۷۰۸۴۳۳۶abc۲۰۵b۵۵f۸۰b۰a۶۷۸۸d۰۶۷ac
۸۱۱f۱۲ea۶۵۸f۹۳۲۵eede۵afcc۹۸۹۸aaf۳۷d۱e۰eafab۸۴e۹۴b۹d۳b۱۳adcc۶۱۳۱f
• com.onlinevoice.playerapp:
۹۲ea۰۱d۰۱۹۸۵۰۶d۵a۴۳e۳cfccf۷b۲۶۶۱c۱۳۱c۵۷e۸d۲۶۰fbf۳۴۷۶۰f۰۱a۸۹۷b۰cb
• com.bestvoice.messenger:
۹۷۴۲۱۴۸afe۱۰۹e۸ab۲۵ec۸۱f۵۸aee۸befed۶be۲۰affa۷b۲a۷۱۷۰۲a۶۵d۴bc۳۷۷c
• com.netaudio.vam:
cabe۰۵۷cf۱۹ddd۵۴a۱۴۸۹e۰db۷۴d۰c۸۸۳۳cea۵۰۱c۴b۴a۲۲b۷۹۵۳a۶e۷d۱fd۹۳۹۱
• com.voicedata.justvoicemessenger:
dddb۸۴da۱b۴f۸۹۱۴f۳۱۷۸۱a۱a۸a۴۶c۰۲۸dbb۷۷۶a۸۹۱d۱۹۸b۵d۴b۷۸c۳c۹a۶۲c۸d
سرورهای C&C:
• hxxp://vilayierie.live:۴۴۳
• hxxp://aspiet.club:۴۴۳
• hxxp://۲۱۳,۲۳۹.۲۲۲.۷:۸۰۸۱