info[at]nsec.ir
(+۹۸)-۳۱-۳۳۹۱۵۳۳۶

بدافزار جدید اندرویدی مبتنی بر تلگرام

خلاصه: تلگرام به خاطر امنیت کافی و امکانات زیادی که در اختیار توسعه‌دهندگان قرار می‌دهد مورد توجه هکرها نیز هست. اکنون کارشناسان شرکت Eset پرده از سومین تروجان کنترل از راه دور اندرویدی برداشته‌اند که با استفاده از یک ربات تلگرامی کنترل می‌شود. این تروجان تحت نام برنامه‌هایی فریبنده روی دستگاه کاربر نصب شده و کنترل کامل دستگاه را به دست هکرها می‌سپارد.

 

محققان شرکت امنیتی ESET یک خانواده جدید از تروجان‌های کنترل از راه دور(RAT) اندروید را کشف نموده‌اند که از پروتکل تلگرام برای کنترل و فرمان و استخراج داده سو استفاده می‌نماید.

در ابتدا کارشناسان بر این باور بوده‌اند که فعالیت‌های جدیدی که مشاهده نموده‌اند نتیجه فعالیت دو تروجان کنترل از راه دور IRRAT و TeleRAT است که قبلا شناسایی شده بوده‌اند. این دو تروجان نیز از پروتکل تلگرام استفاده می‌نمایند. اما پس از بررسی‌های دقیق‌تر کارشناسان به این نتیجه رسیدند که با یک خانواده جدید بدافزار روبرو هستند که لااقل از آگوست سال ۲۰۱۷ در حال فعالیت است. در ماه مارس ۲۰۱۸ کد منبع این بدافزار توسط کانال‌های تلگرامی هکرها منتشر شد و در نتیجه هزاران نسخه از این بدافزار اکنون به صورت موازی در حال فعالیت است.

یکی از این توزیع‌ها که با بقیه متفاوت است مورد بررسی دقیق قرار گرفته است. جدای از اینکه کد منبع این توزیع به صورت رایگان وجود دارد، روی کانال‌های تلگرامی متعلق به خود به صورت فروشی تحت عنوان HeroRat قرار دارد. این بدافزار با سه طرح و قیمت مختلف به همراه ویدیو‌های راهنما ارایه می‌شود. معلوم نیست که کدامیک از این نسخه‌ها از کدی که منتشر شده ساخته شده و یا اگر این نسخه اصلی بدافزار است کد کدامیک از نسخه‌ها منتشر شده است.

مهاجمین با استفاده از نام برنامه‌های مختلف کاربران را ترغیب می‌نمایند که این بدافزار را نصب نمایند. برنامه‌هایی که معمولا از طریق شبکه‌های اجتماعی و یا بازار‌های ناامن در اختیار کاربران قرار می‌گیرد. این بدافزار در ایران به صورت برنامه‌هایی برای استخراج بیت‌کوین، اتصال رایگان اینترنت و اضافه کردن فالوور در شبکه‌های اجتماعی دیده شده است. هیچ‌کدام از این بدافزار‌ها در گوگل‌پلی مشاهده نشده‌اند.

این بدافزار روی همه نسخه‌های اندروید اجرا می‌شود. اما بدافزار برای اجرای درست نیاز به اجازه‌هایی دارد که از کاربر می‌گیرد. در این مرحله معمولا با ترفند‌های مهندسی اجتماعی این اجازه‌ها از کاربر گرفته می‌شود.

پس از نصب بدافزار و اجرای آن روی دستگاه قربانی، یک پیام به نمایش در آمده و اعلام می‌کند که این برنامه امکان اجرا روی دستگاه را نداشته و بنابراین حذف خواهد شد. در نسخه‌های بررسی شده یک پیام به زبان فارسی یا انگلیسی، بسته به زبان پیش‌فرض دستگاه، به کاربر نشان داده می‌شود.

پس از اینکه به نظر می‌رسد فرایند حذف برنامه تمام شده است، آیکون برنامه هم حذف می‌شود؛ اما مهاجم همچنان کنترل کامل روی دستگاه قربانی دارد.

با ایجاد دسترسی روی دستگاه قربانی، مهاجم با استفاده از بات تلگرام، می‌تواند کنترل دستگاه را به دست بگیرد. هر دستگاه تسخیر شده توسط یک بات کنترل می‌شود که توسط مهاجم روی برنامه تلگرام ایجاد می‌شود.

بدافزار قابلیت‌های جاسوسی و استخراج داده زیاد و قدرت‌مندی دارد. سرقت لیست پیام‌ها و مخاطبین، ارسال و دریافت تماس و پیام کوتاه، ضبط صدا و تصویر صفحه نمایش، پیدا کردن محل تلفن همراه و کنترل تنظیمات دستگاه از قابلیت‌های این بدافزار است.

قابلیت‌های بدافزار HeroRat در سه سطح دسته‌بندی شده و برای فروش ارایه شده است. سطح برنزی، نقره‌ای و طلایی این بدافزار به ترتیب ۲۵، ۵۰ و ۱۰۰ دلار قیمت دارند. همچنین کد منبع این بدافزار با قیمت ۶۵۰ دلار به فروش می‌رسد.

قابلیت‌های بدافزار به صورت دکمه‌هایی در بات تلگرام قابل دسترسی هستند. مهاجم می‌تواند به سادگی و با استفاده از این دکمه‌ها، دستگاه قربانی را کنترل کند.

بر خلاف تروجان‌های قبلی که از پروتکل تلگرام سو استفاده می‌نمودند و با جاوا توسعه یافته بودند، این بدافزار با زبان C# و فریم‌ورک Xamarin که یک ابزار کم کاربرد برای توسعه برنامه‌های اندرویدی است توسعه یافته است.

نحوه استفاده بدافزار از پروتکل تلگرام با زبان توسعه بدافزار وفق داده شده و این بدافزار از کتابخانه Telesharp برای ایجاد بات در زبان C# استفاده می‌نماید. همچنین علاوه بر ارتباط برای دستور به بدافزار، برای استخراج اطلاعات نیز از پروتکل تلگرام استفاده می‌شود.

با توجه به اینکه کد منبع این بدافزار به صورت رایگان در دسترس قرار دارد، امکان دارد با نام‌های مختلفی توزیع شده و دستگاه‌های زیادی را آلوده نماید. این تنوع کار را برای تشخیص بدافزار سخت می‌کند.

برای جلوگیری از آلودگی توسط این بدافزار و بدافزار‌های مشابه، هیچ گاه برنامه‌ای را از منبعی غیر از بازار‌های رسمی برنامه‌های اندرویدی و ترجیحا گوگل پلی نصب ننمایید. همچنین از نصب برنامه‌هایی که نمی‌شناسید خودداری کنید. در زمان نصب یک برنامه نیز به اجازه‌هایی که برنامه از شما می‌گیرد دقت نمایید.

    

 

 

 

تحت نظارت وف ایرانی