ChromeX یکی از اپلیکیشن های آلوده است که در کانال های تلگرامی به نام رفع تحریم ها و یا دست یابی به تلگرام ضد فیلتر منتشر می شود . ChromeX در حقیقت یک بد افزار یا (malware) است که به صورت بالقوه قدرت این را دارد که بر روی سیستم کاربر ابزار های جاسوسی تزریق کند .
پس از اجرای این بدافزار در محیط SandBox سعی کردیم بر اساس یک سری مولفه ها و رویداد های قابل توجه و حساس این ابزار را مورد بررسی قرار دهیم . رویداد ها با استفاده از کارکترهای خاص ردیابی شدند و در این پرسه متوجه شدیم که این ابزار بخشی از خانواده بدافزار ها می باشد .
یکی از هش های شناسایی شده این ابزار به صورت SHA-256 به شرح زیر است :
72e567e47bde50a5bbdbafe659c3f22920e758b1237ab8dab43c6c195ec1e8edابزار اصلی که این بدافزار آن را به شما پیشنهاد می دهد اپلیکیشنی با نام TelegraamXbr.apk است .
در حالت کلی هیچ وقت از تلگرام های غیر رسمی استفاده نکنید و برای اتصال به تلگرام اصلی شرکت تلگرام بهترین گزینه استفاده از یک VPN امن است .
از جمله ترافیک ها و رویداد های مشکوک این بد افزار شناسایی 26 درخواست DNS تایپ A بر روی HTTP پورت 80 و پورت های دیگر است .
اطلاعات فنی کارکرد این بد افزار :
آدرس و پورت ترافیک های ارسالی :
1 2 3 4 5 6 |
67.199.248.10:80 (TCP) 185.199.111.153:443 (TCP) 185.199.109.153:443 (TCP) 185.199.110.153:443 (TCP) 185.199.108.153:443 (TCP) 67.199.248.11:80 (TCP) |
فایل های باز شده :
1 2 3 4 5 6 7 8 9 10 |
/data/data/com.browser.proxy/shared_prefs/my_proxy.xml /data/data/com.browser.proxy/files/unsent_requests /data/data/com.browser.proxy/shared_prefs/my_proxy.xml.bak /data/data/com.browser.proxy/shared_prefs/co.ronash.pushe.keystore.xml /data/data/com.browser.proxy/shared_prefs/co.ronash.pushe.keystore.xml.bak /data/data/com.browser.proxy/shared_prefs/evernote_jobs.xml /data/data/com.browser.proxy/no_backup/com.google.InstanceId.properties /data/data/com.browser.proxy/shared_prefs/com.google.android.gms.appid.xml /data/data/com.browser.proxy/shared_prefs/com.google.android.gms.appid.xml.bak /data/data/com.browser.proxy/shared_prefs/settings.xml |
عمده DNS ها درخواستی :
1 2 3 4 |
google.com brwserpx.github.io bit.ly bit.ly |
ملت رو چه حسابی این نرم افزارهای به درد نخور رو نصب میکنن ؟
متاسفانه تو کانال ها با عناوین خاص فریبشون می دن .
با چه زبانی نوشته شده
سلام با جاوا
سلام ، ایا امکان داره این بدافزارو برام ایمیل کنین میخوام روش یه تستی انجام بدم ، میخوام ببینم ایا رو این کار میکنه یا نه ممنون میشم.
سلام متاسفانه فایل رو موجود نداریم ، پوزش ما رو بپذیرید
استاد مگه میشه با جاوا اپلیکیشن اندرویدی ساخت ؟
عجب !!
سلام بله
java zabani hast ke tarahi shode to har sistemi betine ejra beshe shoaresham ine :yebar benevis va harja khasti estefade kon. vali kheyli ham motmaen nistam ke hamin bashe 🙂 hata mishe to zamine IOT ham koli azash estefade kard shayad java ro ba js eshtebah gerefti
age be java alage dari va taze kari mitoni be sayt javacup.ir sar bezani omidvaram tonestebasham komaket karde basham 🙂
من کاربر جدید هستم از پیدا کردن سایت شما بسیار خوشحالم