بدافزار جاسوسی تلگرام در کمین کاربران ایرانی

گروه دانش و فن|

مرکز مدیریت راهبردی امنیت فضای تولید و تبادل اطلاعات از کشف خانواده جدیدی از بدافزارهای جاسوسی خبر داده که از پروتکل اپلیکیشن تلگرام در سیستم عامل اندروید، سوءاستفاده می‌کند.

خانواده جدیدی از RATها در بستر سیستم‌عامل اندروید پا به عرصه ظهور گذاشته‌اند که رفتاری تهاجمی داشته و با سوءاستفاده از پروتکل برنامه کاربردی تلگرام اقدام به تبادل داده با سرورهای C&C خود می‌کنند.

مرکز مدیریت راهبردی امنیت فضای تولید و تبادل اطلاعات در این باره اعلام کرد: مهاجمان نوع جدیدی از RATهای اندرویدی را از طریق فروشگاه‌های اپلیکیشن (برنامه‌کاربردی) شخص ثالث، رسانه‌های اجتماعی و برنامه‌های پیام‌رسان توزیع کرده‌اند که نکته مهم درخصوص این نوع حمله تمرکز روی کاربران ایرانی است.

مطابق با این اعلام، مهاجمان برنامه آلوده خود را در قالب تکنیک‌های مهندسی اجتماعی نظیر برنامه‌های کاربردی دریافت ارز دیجیتال رایگان (بیت‌کوین)، اینترنت رایگان و افزایش دنبال‌کنندگان (Followers) در شبکه‌های اجتماعی اقدام به توزیع این RAT کرده‌اند.

این بدافزار در تمامی نسخه‌های سیستم‌عامل اندروید قابل اجرا ‌است.

محققان امنیتی موسسه ESET نیز با تایید شناسایی این خانواده جدید از بدافزار جاسوسی، عنوان کرده‌اند که این بدافزار از اکتبر سال ۲۰۱۷ میلادی انتشار یافته‌ و در تاریخ مارس سال ۲۰۱۸ کد منبع آن به‌صورت کاملا رایگان در کانال‌های هک پیام‌رسان تلگرام در دسترس عموم قرار داده شده است.

زمانی که برنامه آلوده نصب می‌شود با استفاده از تکنیک‌های مهندسی اجتماعی اقدام به دریافت مجوزهای مدیریتی می‌کند و پس از اتمام فرآیند نصب، یک پیغام جعلی با مضمون «برنامه قادر به اجرا روی دستگاه مورد نظر شما نیست» و در ظاهر پیغام «پایان مراحل پاک ‌کردن» به صورت popup برای قربانی نمایش داده می‌شود.  نکته مهم درخصوص این بدافزار این است که پیغام پاک کردن برنامه نصب شده صرفا اقدام به حذف آیکون می‌کند و برنامه مخرب همچنان در دستگاه قربانی باقی خواهد ماند و بدین‌ترتیب دستگاه مورد نظر در سرور مهاجمان ثبت می‌شود.

این بدافزار شامل گستره وسیعی از قابلیت‌ها نظیر جاسوسی و استخراج فایل‌ها، شنود و رهگیری پیام‌های متنی و لیست مخاطبان، ارسال پیام متنی و برقراری تماس، ضبط صدا و تصویربرداری از صفحه نمایش، موقعیت جغرافیایی دستگاه و کنترل تنظیمات دستگاه است.  این RAT که با نام HeroRat شناخته شده است به دسته‌های مختلفی نظیر پنل‌های برنزی (معادل ۲۵ دلار امریکا)، نقره‌یی (۵۰ دلار امریکا) و طلایی (۱۰۰ دلار امریکا) تقسیم شده و کد منبع آن به قیمت ۶۰۰ دلار امریکا به فروش رسیده است.  این بدافزار توسط ثابت افزار Xamarin توسعه داده شده است.  مهاجم با استفاده از قابلیت‌های Telegram bot اقدام به کنترل دستگاه آلوده می‌کند. به عنوان مثال، مهاجم می‌تواند دستگاه قربانی خود را به سادگی فشردن دکمه‌های تعبیه شده در نسخه‌ بدافزار، تحت کنترل خود در آورد.

این جاسوس افزار تبادل اطلاعات بین سرور C&C و داده‌های استخراج شده را برای جلوگیری از رصد ترافیک شبکه از طریق پروتکل تلگرام انجام می‌دهد.

 بدافزارهای مالی و تهدید کاربران

این درحالی است که چندی پیش ویروس زئوس از طریق بستر محبوب این روزهای کاربران ایرانی یعنی تلگرام راه خودش را به کانال‌ها و گروه‌های ایرانی باز کرد بسیاری از مویایل کاربران را آلوده کرد.

 بدافزار زئوس سال‌هاست که در دنیای اینترنت جولان می‌دهد و هر از گاهی آتشی برپا می‌کند و هربار کاربران یک منطقه را مورد حمله قرار می‌دهد. براساس آمارهای موجود این ویروس کامپیوترهای بیش از ۱۹۶ کشور دنیا را آلوده کرده و در مجموع سیستم‌های رایانه‌یی بیش از ۲۴۰۰ کمپانی توسط آن مورد حمله قرار گرفته‌اند.

ویروس زئوس به یک بدافزار مالی در جهان شهرت دارد و عملکرد نسبتا مشابهی را در حملات خود به سیستم‌ عامل‌های گوناگون اتخاذ می‌کند. ویروس تا زمانی که یک فعالیت بانکداری آنلاین انجام نمی‌شود در یک خواب عمیق به سر می‌برد اما به محض اینکه کاربر از یک وب‌سایت بانکی برای انجام خدمات بانکداری خود استفاده می‌کند، زئوس هم بیدار می‌شود تا آدرس‌های بانکی و اعتبارات فرد را به سرقت ببرد.

شاید در حین چرخیدن در تلگرام با انواع فایل‌های APK اپلیکیشن‌های مختلفی که برخی کانال‌ها با شعارهای تبلیغاتی وسوسه‌ برانگیز آن را دراختیار اعضای خود قرار می‌دهند برخورد کرده باشید. عباراتی چون: برنامه هک شده ایرانسل، اپلیکیشن تبدیل دوربین موبایل به مادون قرمز، نسخه پول نامحدود کلش آف کلنز، برنامه VIP خرید شارژ مجانی و... ازجمله مواردی هستند که کاربران کنجکاو را به دانلودشان وا می‌دارند. داشتن پسوند APK این برنامه‌ها و نصب شدن‌شان روی سیستم‌عامل اندروید هم حرکتی زیرکانه است تا باور کاربر را به راستین بودن این اپلیکیشن‌ها سوق دهد.

دانلود کردن و نصب این قبیل برنامه‌ها، مثل ساختن دروازه‌یی است برای ویروس زئوس تا به موبایل و اطلاعات شخصی شما رخنه کند. کانال‌های زیادی بدون ثبت شدن در سامانه «شامد» وجود دارند و نظارتی بر آنها از سوی هیچ ارگانی نیست. از همین‌رو این کانال‌ها باعث به وجود آمدن بستر مجازی سیاهی شده‌اند که در آن بدافزارهای مختلفی که از هکرهای روسی توسط کلاهبرداران اینترنتی داخلی خریداری شده، منتشر می‌شوند.

اپلیکیشن‌های آلوده به ویروس زئوس با کمی تغییر در شمایل کلی آن و ترجمه برخی کدهای نگاشته شده در آن به زبان فارسی به‌طور عمومی در صفحات مجازی پیام‌رسان تلگرام منتشر می‌شوند. تغییرات در این ویروس‌ها با کمترین دانش برنامه‌نویسی امکان‌پذیر است و گروه‌هایی در تلگرام برای آموزش و فروش راهنمای فارسی‌سازی این ویروس‌ها نیز به وجود آمده که کار را برای افراد سودجو آسان‌تر می‌سازد.

 در پایان باید گفت توصیه‌های ایمنی و امنیتی باید از سوی کاربران بیشتر مورد توجه قرار بگیرد، کاربران بهتر است نسبت به تفویض مجوزهای درخواستی توسط برنامه‌های کاربردی دقت لازم را داشته باشند و برنامه‌های کاربردی خود را از منابع و فروشگاه‌های معتبر دریافت کنید. همچنین نسخه سیستم‌عامل خود را به‌روز نگاه دارند و از ابزارهای رمزنگاری داده در دستگاه خود استفاده کنید. پشتیبانی از داده‌ها و نصب یک برنامه ضد بدافزار در دستگاه از دیگر مواردی است که می‌تواند مانع از نفوذ بدافزارها به سیستم شود.