بدافزار جاسوسی تلگرام در کمین کاربران ایرانی
گروه دانش و فن|
مرکز مدیریت راهبردی امنیت فضای تولید و تبادل اطلاعات از کشف خانواده جدیدی از بدافزارهای جاسوسی خبر داده که از پروتکل اپلیکیشن تلگرام در سیستم عامل اندروید، سوءاستفاده میکند.
خانواده جدیدی از RATها در بستر سیستمعامل اندروید پا به عرصه ظهور گذاشتهاند که رفتاری تهاجمی داشته و با سوءاستفاده از پروتکل برنامه کاربردی تلگرام اقدام به تبادل داده با سرورهای C&C خود میکنند.
مرکز مدیریت راهبردی امنیت فضای تولید و تبادل اطلاعات در این باره اعلام کرد: مهاجمان نوع جدیدی از RATهای اندرویدی را از طریق فروشگاههای اپلیکیشن (برنامهکاربردی) شخص ثالث، رسانههای اجتماعی و برنامههای پیامرسان توزیع کردهاند که نکته مهم درخصوص این نوع حمله تمرکز روی کاربران ایرانی است.
مطابق با این اعلام، مهاجمان برنامه آلوده خود را در قالب تکنیکهای مهندسی اجتماعی نظیر برنامههای کاربردی دریافت ارز دیجیتال رایگان (بیتکوین)، اینترنت رایگان و افزایش دنبالکنندگان (Followers) در شبکههای اجتماعی اقدام به توزیع این RAT کردهاند.
این بدافزار در تمامی نسخههای سیستمعامل اندروید قابل اجرا است.
محققان امنیتی موسسه ESET نیز با تایید شناسایی این خانواده جدید از بدافزار جاسوسی، عنوان کردهاند که این بدافزار از اکتبر سال ۲۰۱۷ میلادی انتشار یافته و در تاریخ مارس سال ۲۰۱۸ کد منبع آن بهصورت کاملا رایگان در کانالهای هک پیامرسان تلگرام در دسترس عموم قرار داده شده است.
زمانی که برنامه آلوده نصب میشود با استفاده از تکنیکهای مهندسی اجتماعی اقدام به دریافت مجوزهای مدیریتی میکند و پس از اتمام فرآیند نصب، یک پیغام جعلی با مضمون «برنامه قادر به اجرا روی دستگاه مورد نظر شما نیست» و در ظاهر پیغام «پایان مراحل پاک کردن» به صورت popup برای قربانی نمایش داده میشود. نکته مهم درخصوص این بدافزار این است که پیغام پاک کردن برنامه نصب شده صرفا اقدام به حذف آیکون میکند و برنامه مخرب همچنان در دستگاه قربانی باقی خواهد ماند و بدینترتیب دستگاه مورد نظر در سرور مهاجمان ثبت میشود.
این بدافزار شامل گستره وسیعی از قابلیتها نظیر جاسوسی و استخراج فایلها، شنود و رهگیری پیامهای متنی و لیست مخاطبان، ارسال پیام متنی و برقراری تماس، ضبط صدا و تصویربرداری از صفحه نمایش، موقعیت جغرافیایی دستگاه و کنترل تنظیمات دستگاه است. این RAT که با نام HeroRat شناخته شده است به دستههای مختلفی نظیر پنلهای برنزی (معادل ۲۵ دلار امریکا)، نقرهیی (۵۰ دلار امریکا) و طلایی (۱۰۰ دلار امریکا) تقسیم شده و کد منبع آن به قیمت ۶۰۰ دلار امریکا به فروش رسیده است. این بدافزار توسط ثابت افزار Xamarin توسعه داده شده است. مهاجم با استفاده از قابلیتهای Telegram bot اقدام به کنترل دستگاه آلوده میکند. به عنوان مثال، مهاجم میتواند دستگاه قربانی خود را به سادگی فشردن دکمههای تعبیه شده در نسخه بدافزار، تحت کنترل خود در آورد.
این جاسوس افزار تبادل اطلاعات بین سرور C&C و دادههای استخراج شده را برای جلوگیری از رصد ترافیک شبکه از طریق پروتکل تلگرام انجام میدهد.
بدافزارهای مالی و تهدید کاربران
این درحالی است که چندی پیش ویروس زئوس از طریق بستر محبوب این روزهای کاربران ایرانی یعنی تلگرام راه خودش را به کانالها و گروههای ایرانی باز کرد بسیاری از مویایل کاربران را آلوده کرد.
بدافزار زئوس سالهاست که در دنیای اینترنت جولان میدهد و هر از گاهی آتشی برپا میکند و هربار کاربران یک منطقه را مورد حمله قرار میدهد. براساس آمارهای موجود این ویروس کامپیوترهای بیش از ۱۹۶ کشور دنیا را آلوده کرده و در مجموع سیستمهای رایانهیی بیش از ۲۴۰۰ کمپانی توسط آن مورد حمله قرار گرفتهاند.
ویروس زئوس به یک بدافزار مالی در جهان شهرت دارد و عملکرد نسبتا مشابهی را در حملات خود به سیستم عاملهای گوناگون اتخاذ میکند. ویروس تا زمانی که یک فعالیت بانکداری آنلاین انجام نمیشود در یک خواب عمیق به سر میبرد اما به محض اینکه کاربر از یک وبسایت بانکی برای انجام خدمات بانکداری خود استفاده میکند، زئوس هم بیدار میشود تا آدرسهای بانکی و اعتبارات فرد را به سرقت ببرد.
شاید در حین چرخیدن در تلگرام با انواع فایلهای APK اپلیکیشنهای مختلفی که برخی کانالها با شعارهای تبلیغاتی وسوسه برانگیز آن را دراختیار اعضای خود قرار میدهند برخورد کرده باشید. عباراتی چون: برنامه هک شده ایرانسل، اپلیکیشن تبدیل دوربین موبایل به مادون قرمز، نسخه پول نامحدود کلش آف کلنز، برنامه VIP خرید شارژ مجانی و... ازجمله مواردی هستند که کاربران کنجکاو را به دانلودشان وا میدارند. داشتن پسوند APK این برنامهها و نصب شدنشان روی سیستمعامل اندروید هم حرکتی زیرکانه است تا باور کاربر را به راستین بودن این اپلیکیشنها سوق دهد.
دانلود کردن و نصب این قبیل برنامهها، مثل ساختن دروازهیی است برای ویروس زئوس تا به موبایل و اطلاعات شخصی شما رخنه کند. کانالهای زیادی بدون ثبت شدن در سامانه «شامد» وجود دارند و نظارتی بر آنها از سوی هیچ ارگانی نیست. از همینرو این کانالها باعث به وجود آمدن بستر مجازی سیاهی شدهاند که در آن بدافزارهای مختلفی که از هکرهای روسی توسط کلاهبرداران اینترنتی داخلی خریداری شده، منتشر میشوند.
اپلیکیشنهای آلوده به ویروس زئوس با کمی تغییر در شمایل کلی آن و ترجمه برخی کدهای نگاشته شده در آن به زبان فارسی بهطور عمومی در صفحات مجازی پیامرسان تلگرام منتشر میشوند. تغییرات در این ویروسها با کمترین دانش برنامهنویسی امکانپذیر است و گروههایی در تلگرام برای آموزش و فروش راهنمای فارسیسازی این ویروسها نیز به وجود آمده که کار را برای افراد سودجو آسانتر میسازد.
در پایان باید گفت توصیههای ایمنی و امنیتی باید از سوی کاربران بیشتر مورد توجه قرار بگیرد، کاربران بهتر است نسبت به تفویض مجوزهای درخواستی توسط برنامههای کاربردی دقت لازم را داشته باشند و برنامههای کاربردی خود را از منابع و فروشگاههای معتبر دریافت کنید. همچنین نسخه سیستمعامل خود را بهروز نگاه دارند و از ابزارهای رمزنگاری داده در دستگاه خود استفاده کنید. پشتیبانی از دادهها و نصب یک برنامه ضد بدافزار در دستگاه از دیگر مواردی است که میتواند مانع از نفوذ بدافزارها به سیستم شود.