«تروجان اندرویدی» اهرم استخراج اطلاعات ایرانیها از تلگرام
ایسنا|
محققان امنیتی اخیرا هشدار دادند تروجان اندرویدی جدیدی شناسایی شده که از واسطهای برنامهنویسی بات تلگرام برای ارتباط با سرور دستور و کنترل و ارسال دادهها به این سرور بهرهبرداری میکند.
این بدافزار TeleRAT نام داشته و به نظر میرسد ایران و کاربران ایرانی را هدف قرار داده است. این بدافزار مشابه بدافزار IRRAT است که قبلا مشاهده شده بود و از واسطهای برنامهنویسی بات تلگرام بهرهبرداری میکرد.
بدافزار IRRAT هنوز هم به فعالیت خود ادامه میدهد و خود را در قالب برنامههایی که شماره بازدیدکنندگان پروفایل تلگرام شما را نمایش میدهند، توزیع میکند. این برنامه پس از نصب، بدافزار را ایجاد کرده و فایلهایی را روی سیمکارت قربانی توزیع میکند که در ادامه میتواند اطلاعاتی را به سمت سرور دستور و کنترل ارسال کند.
فایلهایی که به سمت سرور دستور و کنترل ارسال میشود حاوی فهرست مخاطبان، فهرستی از حسابهای گوگل که روی دستگاه ثبت شدهاند، تاریخچه پیامکها، تصاویری که با دوربین جلو و عقب گوشی گرفته شدهاند، هستند. بدافزار مخرب گزارشهای خود را به بات تلگرام تحویل داده و از منوی گوشی محو میشود و در پسزمینه اجرا شده و منتظر دستورات میماند.
از طرف دیگر بدافزار TeleRAT دو فایل روی دستگاه قربانی ایجاد میکند. یکی از این فایلها حاوی اطلاعات زیادی در مورد دستگاه قربانی است و در دیگری نیز فهرست کانالهای تلگرام و دستورات متعدد ذخیره شده است. این بدافزار پس از نصب روی دستگاه قربانی، با ارسال تاریخ و زمان به بات تلگرام از طریق واسطهای برنامهنویسی تلگرام، به مهاجم این مساله را اطلاع میدهد. بدافزار در ادامه سرویسی را در پسزمینه راهاندازی کرده و به تغییراتی که در حافظه دستگاه ایجاد میشود گوش میدهد. بدافزار هر 4.6 ثانیه بهروزرسانیها را از بات تلگرام واکشی کرده و به دستورات گوش میدهد. بدافزار در ادامه براساس دستوراتی که دریافت میکند میتواند فهرستی از مخاطبان ایجاد کند، فایلهایی را ایجاد کند، مخاطبهای جدید اضافه کند، پیامک ارسال و دریافت کند، با شمارههای مختلف تماس بگیرد، دستگاه را در حالت بیصدا یا صدادار قرار دهد، با دوربین گوشی عکس بگیرد یا عکسها را از گالری دستگاه جمعآوری کند.
همچنین براساس اطلاعات سایت پلیس فتا، این بدافزار قادر است با استفاده از تابع sendDocument در واسط برنامهنویسی بات تلگرام، فایلهایی که از دستگاه قربانی جمعآوری کرده را به سمت سرور دستور و کنترل ارسال کند. این بدافزار تمامی ارتباطات خود را با استفاده از واسط برنامهنویسی بات تلگرام انجام داده و تشخیصهای مبتنی بر شبکه را دور میزند. بدافزار با استفاده از این واسطهای برنامهنویسی برای بهروزرسانی از دو تابع getUpdates یا Webhook استفاده میکند. گفته میشود شناسه توسعهدهنده این بدافزار در کد آن موجود است که محققان را به سمت کانال تلگرامی با نام vahidmail۶۷ هدایت میکند. در این کانال سرویسهایی مانند لایک و دنبالکننده اینستاگرام، سرویسهای باجافزاری و هرگونه تروجان ناشناخته ارائه میشود. محقان همچنین متوجه شدند در انجمنهای برنامهنویسی ایرانی یک کتابخانه با قابلیت کنترل توسط بات تلگرام برای فروش تبلیغ میشده که نمونههایی از این کد در بدافزار TeleRAT مشاهده شده است. هرچند این انجمن ادعا میکند طبق قوانین کشور ایران کار میکند ولی چنین عملیات مخربی نیز در آن مشاهده میشود.
به دلیل اینکه در بدافزار TeleRAT از کدهای توسعهدهندگان مختلف و کدهای متنباز استفاده شده است، به راحتی نمیتوان آن را به گروه خاصی نسبت داد. با این حال گفته میشود توسعهدهندگان این تروجان چند نفر هستند که داخل ایران فعالیت میکنند. این بدافزار در بازارهای شخص ثالث برنامههای کاربردی در قالب برنامههای قانونی و غیرقانونی و همچنین کانالهای تلگرامی توزیع میشود. تقریبا ۲۲۹۳ کاربر تاکنون به این بدافزار آلوده شدهاند که نزدیک به ۸۲ درصد از شمارهها مربوط به ایران هستند.