تروجان اندرویدی اهرم استخراج اطلاعات ایرانیان از تلگرام
فیكس سرور: محققان امنیتی به تازگی اخطار دادند تروجان اندرویدی جدیدی شناسایی شده كه از واسط های برنامه نویسی بات تلگرام برای ارتباط با سرور دستور و كنترل و ارسال داده ها به این سرور بهره برداری می كند.
به گزارش فیكس سرور به نقل از ایسنا، این بدافزار TeleRAT نام داشته و به نظر می رسد ایران و كاربران ایرانی را هدف قرار داده است. این بدافزار مشابه بدافزار IRRAT است كه قبلا مشاهده شده بود و از واسط های برنامه نویسی بات تلگرام بهره برداری می كرد.
بدافزار IRRAT هنوز هم به فعالیت خود ادامه می دهد و خویش را در قالب برنامه هایی كه شماره ی بازدیدكنندگان پروفایل تلگرام شما را نمایش می دهند، توزیع می نماید. این برنامه بعد از نصب، بدافزار را بوجود آورده و فایل هایی را برروی سیم كارت قربانی توزیع می نماید كه در ادامه می تواند اطلاعاتی را به سمت سرور دستور و كنترل ارسال نماید.
فایل هایی كه به سمت سرور دستور و كنترل ارسال می گردد حاوی فهرست مخاطبان، فهرستی از حساب های گوگل كه بر روی دستگاه ثبت شده اند، تاریخچه ی پیامك ها، تصاویری كه با دوربین جلو و عقب گوشی گرفته شده اند، هستند. بدافزار مخرب گزارش های خویش را به بات تلگرام تحویل داده و از منوی گوشی محو می گردد و در پس زمینه اجرا شده و منتظر دستورات می ماند.
از طرف دیگر بدافزار TeleRAT دو فایل بر روی دستگاه قربانی بوجود می آورد. یكی از این فایل ها حاوی اطلاعات زیادی در مورد دستگاه قربانی است و در دیگری هم فهرست كانال های تلگرام و دستورات مختلف ذخیره شده است. این بدافزار بعد از نصب بر روی دستگاه قربانی، با ارسال تاریخ و زمان به بات تلگرام با استفاده از واسط های برنامه نویسی تلگرام، به مهاجم این مسأله را اطلاع می دهد.
بدافزار در ادامه سرویسی را در پس زمینه راه اندازی كرده و به تغییراتی كه در حافظه ی دستگاه تولید می گردد گوش می دهد. بدافزار هر ۴٫۶ ثانیه به روزرسانی ها را از بات تلگرام واكشی كرده و به دستورات گوش می دهد. بدافزار در ادامه برپایه دستوراتی كه دریافت می كند می توان فهرستی از مخاطبان تولید كند، فایل هایی را تولید كند، مخاطب های جدید اضافه كند، پیامك ارسال و دریافت كند، با شماره های مختلف تماس بگیرد، دستگاه را در حالت بی صدا یا صدادار قرار دهد، با دوربین گوشی عكس بگیرد یا عكس ها را از گالری دستگاه جمع آوری كند.
همچنین بر مبنای اطلاعات سایت پلیس فتا، این بدافزار قادر است با استفاده از تابع sendDocument در واسط برنامه نویسی بات تلگرام، فایل هایی كه از دستگاه قربانی جمع آوری كرده را به سمت سرور دستور و كنترل ارسال نماید. این بدافزار تمامی ارتباطات خویش را با استفاده از واسط برنامه نویسی بات تلگرام انجام داده و تشخیص های مبتنی بر شبكه را دور می زند. بدافزار با استفاده از این واسط های برنامه نویسی برای به روزرسانی از دو تابع getUpdates و یا Webhook استفاده می نماید.
گفته می گردد شناسه ی توسعه دهنده ی این بدافزار در كد آن موجود است كه محققان را به سمت كانال تلگرامی با نام vahidmail۶۷ هدایت می كند. در این كانال سرویس هایی مانند لایك و دنبال كننده ی اینستاگرام، سرویس های باج افزاری و هرگونه تروجان ناشناخته عرضه می گردد. محقان همینطور متوجه شدند در انجمن های برنامه نویسی ایرانی یك كتابخانه با قابلیت كنترل توسط بات تلگرام برای فروش تبلیغ می شده كه نمونه هایی از این كد در بدافزار TeleRAT مشاهده شده است. هرچند این انجمن ادعا می كند طبق قوانین كشور ایران كار می كند ولی چنین عملیات مخربی هم در آن مشاهده می گردد.
به دلیل اینكه در بدافزار TeleRAT از كدهای توسعه دهندگان مختلف و كدهای متن باز استفاده شده است، به راحتی نمی توان آن را به گروه خاصی نسبت داد. با این حال گفته می گردد توسعه دهندگان این تروجان چند نفر هستند كه داخل ایران فعالیت می نمایند.
این بدافزار در بازارهای شخص ثالث برنامه های كاربردی در قالب برنامه های قانونی و غیرقانونی و همینطور كانال های تلگرامی توزیع می گردد. حدودا ۲۲۹۳ كاربر تابحال به این بدافزار آلوده شده اند كه نزدیك به ۸۲ درصد از شماره ها مربوط به ایران هستند.
این مطلب را می پسندید؟
(1)
(0)
تازه ترین مطالب مرتبط
نظرات بینندگان در مورد این مطلب