چند روز پیش لوکاس استفانکو از موسسه ESET در توییتی اعلام کرد که از آدرس جعلی pushfa.com (به جای pushfa.ir) اپ‌های جعلی و بدافزار توزیع می‌شود. در ادامه نوشته یکی از دوستان رو خواهید خوند که این ادعا رو بررسی کرده.

دامنه جعلی

در مورد جعلی بودن دامنه com تحقیق شد. در حقیقت این آدرس‌ها جعلی نیستند و هر دو متعلق به یک فرد هستند و به صورت خاص برای فروش عضو تقلبی-جعلی-اجباری ایجاد شده‌اند.

مشخصات دامنه‌های ثبت شده رو در ادامه خواهید دید.

دامنه ir به نام محمد عیاضی و با ایمیل pragma_job@yahoo.com ثبت شده است. مالک دامنه com هم همین مشخصات رو داره.

ایشون سایت‌های دیگه‌ای هم ثبت کرده با استفاده از اسم pragma.

 اپلیکیشن جعلی

اپپلیکیشن مورد اشاره آقای استفانکو که به آدرس زیر قابل دسترس است، زمان نصب، دو اپلیکیشن دیگه رو هم دانلود و نصب می‌کند.

این اپلیکیشن توسط ۲۵ آنتی‌ویروس در سرویس ویروس‌توتال، آلوده تشخیص داده شد.

برای بالا رفتن اعضا در گروه‌ها، روش فریب کاربر به این صورت است که کانال‌هایی برای کاربر ارسال می‌شوند که ادعای وجود محتوای پ*و*ر*ن دارند که در حقیقت صرف هدایت کاربر به کانال مد نظر بوده و هدف بالا رفتن تعداد اعضای آن کانال است (البته به دلیل اینکه تلگرام سریعا محتوای گفته شده را حذف و کانال حذف می‌کند). این روش برای عضویت کاربر در کانال‌های دیگر و سرقت اطلاعات کاربر ساخته شده‌اند.

در موردی دیگر این فرد یک اپلیکیشن با تیتر «فیلم س*و*پ*ر» و نام های متفاوت با ادعای در اختیار قرار دادن محتوای پ*و*ر*ن ایجاد کرده است تا کاربران به نصب این بدافزار ترغیب کند. این اپ اندرویدی دو اپ دیگر را دانلود و نصب می کند. این اپلیکیشن‌ها در ابتدا سعی دارند جزییات ارتباط کاربر و مشخصات سیستم کاربر را دریافت کنند و پس از آن مجموعه‌ای از سرویس‌ها همچون پوش نوتیفیکیشن‌ها (در اینجا استفاده از خدمات سایتی با نام pushe.co) شروع به ارسال تبلیغات می‌کنند. همچنین با استفاده از ابزارهای دیگری به ایجاد عضویت در کانال های تلگرام و LINE می‌کنند. بدافزارهای نصب شده از نام‌ها و آیکن‌های آشنا همچون مارکت بازار و موبوگرام استفاده می‌کند و پس از نصب از صفحه اصلی حذف شده اما در پس زمینه فعال است. بررسی‌ها نشان می‌دهد بدافزارها روی سرور تغییر نام داده می‌شوند که لیستی از آنها در انتهای مقاله آورده شده است.

لیست اپ‌های جعلی

فایل‌های قرار گرفته روی سرور که ناخواسته روی دستگاه کاربران نصب می‌شوند به قرار زیر است.

 پ.ن: این مطلب توسط یکی از دوستان توییتری نوشته شده و به دلیل رعایت حریم خصوصی ایشون، اسمش گفته نشده.

تعدادی از دوستان در روزهای اخیر پیامکی گرفتند برای تبلیغ اپلیکیشن ردیاب و با این مضمون: «همسر، دوست دختر، دوست پسرت رو کاملا مخفی ردیابی کن.»

از اونجایی که قبلا نمونه‌ای از تبلیغ رو بررسی کرده بودم و حدس می‌زدم که کلاه‌برداری باشه، تصمیم گرفتم که ببینم کی این سایت رو راه‌انداخته. این نمونه تبلیغ‌ها، یا کلاه‌برداریست و یا در صورت درست بودن، نقض حریم خصوصی افراد.

برای شروع، خود سایت رو چک کردم. مدیر سایت برای مخفی نگه‌داشتن هویت خودش از دامنه‌های رایگان استفاده کرده که اطلاعات صاحب دامنه رو نشون نمی‌دن. صفحه اول سایت هم مشابه نمونه‌های دیگه بود، حتی جمله‌ها و ترکیب رنگ و مشخصات ظاهری سایت.

شماره تلفن و ایمیل پشتیبانی هم موقت بوده و به نظر نمی‌رسید جای دیگه‌ای استفاده شده باشند.

برای خرید اقدام کردم. با دوبار تغییر دامنه‌ی واسط و برای گم‌کردن رد فروشنده، نهایتا به صفحه پرداخت بانک رسیدم.

اطلاعات فروشنده اپلیکیشن ردیاب

دکمه «خرید» این لینک رو داشت:

کاربر پس از کلیک و رفتن به این لینک، از طریق یک سرویس واسطه برای پاک کردن سایت ارجاع دهنده، به سایت بعدی می‌رفت با آدرس زیر:

این سایت هم از دامنه رایگان استفاده می‌کنه و مشخصات مدیر دامنه مشخص نیست. قاعدتا به این نمونه از سایت‌ها امکان اتصال به درگاه بانک داده نمی‌شه.

صفحه اول سایت شاپکده رو ببینید. مجددا با این صفحه روبه‌رو خواهیم شد.

و نهایتا از این صفحه، کابر منتقل می‌شد به صفحه پرداخت بانک. اطلاعات پذیرند که در صفحه پرداخت اینترنتی سایت بانک سامان ثبت شده بود، به این قرار بود:

همونطور که می‌بینید در حالیکه ما از سایت shopkade به سایت سامان رفتیم، پذیرنده سایت takzed نوشته شده. همونطور که گفتم، سایت اصلی پذیرنده، شاپکده نیست. اجازه بدید نگاهی به اطلاعات سایت تکزد بنداریم.

می‌بینید که از سرویس مخفی کردن اطلاعات صاحب دامنه استفاده کرده.

همچنین صفحه اول سایت رو هم تغییر داده و «در حال بروز رسانی» نوشته شده. قاعدتا مدیر سایت داره چیزی رو مخفی می‌کنه و می‌شه حدس زد که سواستفاده‌ای از سرویس فروشش انجام نشده بلکه خودشه که داره اون اپلیکیشن رو می‌فروشه.

درسته که مدیر سایت از سرویس‌های پولی مخفی کردن اطلاعات صاحب دامنه استفاده کرده اما من موفق شدم ایمیل‌های مالک دامنه رو به دست بیارم.

این ایمیل‌ها با اسم «حسین سفیدپیشه» استفاده شده برای ثبت دامنه takzed. بعد از مدتی ایمیل‌ها جایگزین شده و بعد مخفی شده.

سایت ویفا

با جستجوی این اسم به یک سایت دیگه می‌رسیم.

سایت vifa با مشخصات زیر ثبت شده.

دامنه به اسم حسین سفیدپیشه و با آدرس ایمیل زیر ثبت شده.

برای اطمینان از اینکه فرد اشتباهی رو متهم نکنم، بررسی رو ادامه می‌دم. سایت ویفا الان در دسترس نیست اما در سایت آرشیو می‌تونیم نسخه‌ای ازش پیدا کنیم.

می‌بینید که مشابه سایت شاپ‌کده است.

با بررسی بیشتر متوجه شدم که صفحه‌های داخلی سایت تکزد (که صفحه اولش در حال به‌روزرسانی بود)، در دسترسند و مشابه دو سایت دیگه است.

همچنین سرور سایت‌های ویفا، شاپکده و تکزد یکی است.

ارتباط این سایت‌ها فراتر از شباهت و یا کپی شدن کدهاست. می‌شه با اطمینان گفت که مدیر هر سه سایت، یک شخص است.

با ایمیل nerozip دامنه‌های دیگه‌ای هم گرفته شده. لیست دامنه‌های مرتبط با این ایمیل رو ببینید.

برای اطمینان بیشتر، دو تا دیگه از دامنه‌ها رو بررسی می‌کنم.

سایت همسران

این سایت برای فروش فیلم‌های آموزش روابط جنسی راه افتاده.

سرور این سایت و سرور سایت فروش اپلیکیشن ردیاب یکی است.

سایت تریکس

سایتی برای فروش اپلیکیشن دریافت کانال‌های ماهواره روی گوشی.

در کدهای سایت تریکس می‌بینیم که لینک پرداخت، به سایت ویفا است که قبلا دیدیم مشابه سایت شاپ‌کده و تکزد بوده و فعلا دردسترس نیست.

می‌بینید که ارتباط درهم‌تنیده این سایت‌ها غیرقابل انکار بوده و تصادفی نیست.

اطلاعات فروشنده

در صورتیکه از طریق این سایت‌ها دچار آسیب مالی یا نقض حریم خصوصی شده‌اید، می‌توانید از طریق مراجع قانونی و با استناد به اطلاعات فوق اقدام به احقاق حق کنید.

اطلاعات کامل فروشنده اپلیکیشن ردیاب:

آقای حسین سفیدپیشه

شماره تلفن موجود در سایت: ۰۲۱۶۶۹۱۹۶۸۷

آدرس فروشگاه نوشته شده در سایت: انقلاب، جمالزاده جنوبی، کوچه رشتچی، پلاک ۵۶، واحد ۳

پی‌نوشت

همزمان با نگارش این پست، از طریق ایمیل‌های موجود آقای سفیدپیشه به ایشون اطلاع دادم. در صورت حذف سایت‌های کلاه‌برداری یا منجر به نقض حریم خصوصی، این نوشته از حالت عمومی خارج می‌شه.