ردیابی تهدیدات سایبری در تلگرام: بررسی گروه‌های فیشینگ و تولیدکنندگان بدافزار

مقدمه

در دنیای امروز که ارتباطات آنلاین بخش جدایی‌ناپذیری از زندگی ما شده، تلگرام به یکی از محبوب‌ترین پیام‌رسان‌ها در میان کاربران ایرانی تبدیل شده است. اما جایی که میلیون‌ها نفر در حال تعامل هستند، همیشه فرصت‌هایی برای سوءاستفاده‌های سایبری وجود دارد. در حالی که تلگرام خودش امکانات امنیتی قوی‌ای ارائه می‌دهد، برخی از کاربران ناآگاه به راحتی طعمه حملات سایبری می‌شوند.

در این گزارش قصد داریم پرده از فعالیت‌های سایبری پنهانی برداریم که توسط گروه‌های مخرب در بستر تلگرام انجام می‌شود. از صفحات فیشینگ که اطلاعات حساس شما را می‌دزدند، تا بدافزارهایی که می‌توانند کنترل کامل دستگاه شما را در دست بگیرند. همچنین نگاهی خواهیم انداخت به گروه‌های سازمان‌یافته‌ای که پشت این حملات قرار دارند و روش‌های پیچیده‌ای برای فریب کاربران به کار می‌برند.

تلگرام؛ زمین بازی گروه‌های مخرب سایبری

تلگرام یکی از بزرگ‌ترین و پرکاربردترین پیام‌رسان‌ها در بین کاربران ایرانی است. اما جایی که میلیون‌ها نفر در حال ارتباط هستند، همیشه افرادی پیدا می‌شوند که به جای استفاده از این بستر برای اهداف سالم، به دنبال سوءاستفاده و فعالیت‌های مخرب هستند. اینجا بحث ما درباره کلاهبرداری‌های ساده یا ترفندهای پیش‌پاافتاده مثل درخواست شماره کارت نیست. موضوع اصلی این گزارش، گروه‌های سازمان‌یافته سایبری است که در تلگرام به فعالیت‌های خطرناک‌تری مثل تولید بدافزار، مدیریت کمپین‌های فیشینگ، و اجرای حملات پیچیده سایبری می‌پردازند.

تلگرام برای این گروه‌های مخرب به دلایل مختلف یک محیط ایده‌آل محسوب می‌شود:

• قابلیت ایجاد گروه‌های مخفی و خصوصی: این گروه‌ها می‌توانند به راحتی در تلگرام شکل بگیرند و فعالیت‌های غیرقانونی خود را بدون جلب توجه عمومی مدیریت کنند.
• امکان اشتراک‌گذاری فایل بدون محدودیت: از فایل‌های آلوده به بدافزار گرفته تا ابزارهای هک و راهنمای اجرای حملات، همه این موارد به سادگی در گروه‌ها و کانال‌های مخفی رد و بدل می‌شود.
• پنهان‌کاری در سطح بالا: با استفاده از شماره‌های مجازی و هویت‌های جعلی، اعضای این گروه‌ها می‌توانند ناشناس باقی بمانند و ردگیری‌شان برای نهادهای امنیتی دشوارتر شود.

در ادامه، دقیق‌تر بررسی می‌کنیم که این گروه‌های تولیدکننده بدافزار و صفحات فیشینگ چطور عمل می‌کنند، چه استراتژی‌هایی دارند، و چرا باید نسبت به فعالیت‌هایشان هوشیار باشیم.

گروه‌های تولیدکننده بدافزار: چه کسانی پشت پرده هستند؟

وقتی صحبت از تهدیدات سایبری می‌شود، معمولاً اولین چیزی که به ذهن می‌رسد، هکرهای انفرادی در یک اتاق تاریک است. اما واقعیت بسیار پیچیده‌تر از این کلیشه‌هاست. پشت بسیاری از حملات سایبری موفق، گروه‌های سازمان‌یافته‌ای قرار دارند که فعالیت‌هایشان نه تنها تصادفی نیست، بلکه به‌صورت کاملاً حرفه‌ای و برنامه‌ریزی‌شده انجام می‌شود. این گروه‌ها دقیقاً مثل یک شرکت عمل می‌کنند؛ با ساختار مشخص، وظایف تقسیم‌شده، و حتی مدل‌های درآمدزایی خاص خودشان.

بدافزار چیست و چرا مهم است؟

بدافزار یا Malware ( یا Malicious Software) به هر نوع نرم‌افزاری گفته می‌شود که با هدف آسیب‌رساندن، سرقت اطلاعات، یا کنترل غیرمجاز بر سیستم‌های قربانیان طراحی شده است. این بدافزارها می‌توانند در قالب فایل‌های آلوده، برنامه‌های جعلی، لینک‌های مخرب یا حتی ربات‌های تلگرامی منتشر شوند.

نحوه فعالیت گروه‌های تولیدکننده بدافزار در تلگرام

توسعه و طراحی بدافزار:
این گروه‌ها معمولاً تیم‌های فنی دارند که مسئول توسعه بدافزار هستند. آن‌ها از زبان‌های برنامه‌نویسی مختلف مثل Python، Java ،C++ یا حتی JavaScript برای تولید نرم‌افزارهای مخرب استفاده می‌کنند. برخی از این بدافزارها پیچیده‌اند و قابلیت‌هایی مثل دور زدن آنتی‌ویروس‌ها، سرقت داده‌های رمزنگاری‌شده، یا کنترل از راه دور دستگاه قربانی را دارند.

توزیع بدافزار

• از طریق لینک‌های آلوده:
  لینک‌هایی که به ظاهر بی‌ضرر به نظر می‌رسند اما قربانی را به سایت‌های آلوده هدایت می‌کنند.
• فایل‌های جعلی:
  فایل‌هایی که به عنوان نرم‌افزارهای مفید، بازی، یا اپلیکیشن‌های کاربردی معرفی می‌شوند اما در واقع آلوده به بدافزار هستند.
• ربات‌های تلگرامی مخرب:
  برخی از این گروه‌ها حتی ربات‌هایی طراحی می‌کنند که در ظاهر خدمات مفیدی ارائه می‌دهند اما در پشت پرده در حال جمع‌آوری اطلاعات حساس کاربران هستند.
• مدیریت و کنترل (C2 Servers):
  بعد از آلوده کردن دستگاه، بدافزار نیاز به ارتباط با سرورهای کنترل و فرمان (C2) دارد تا دستورات جدید را دریافت کند. گروه‌های سایبری معمولاً از سرورهای ناشناس یا حتی تلگرام به‌عنوان یک واسطه برای این ارتباطات استفاده می‌کنند.
• فروش و اجاره بدافزار:
  برخی از این گروه‌ها فقط بدافزار تولید نمی‌کنند، بلکه آن‌ها را در بازارهای زیرزمینی سایبری می‌فروشند یا حتی به دیگر مهاجمان اجاره می‌دهند. این یعنی هر کسی که قصد انجام یک حمله سایبری داشته باشد، می‌تواند بدون داشتن دانش فنی عمیق، یک بدافزار آماده بخرد.

مطالعه موردی: یک کمپین ایرانی بدافزار در تلگرام

در یکی از موارد مستند، یک گروه سایبری ایرانی‌زبان با نام اختصار لیدیا (Lydia) مورد بررسی قرار گرفته شده است.

معرفی گروه "لیدیا"

لیدیا یک گروه سایبری با فعالیت‌های مخرب در حوزه تولید بدافزارهای اندرویدی است که از سال 2020 فعالیت خود را آغاز کرده و تا به امروز به شکل گسترده ادامه داده است. تمرکز اصلی این گروه بر توسعه بدافزارهای اندروید، ربات‌های تلگرامی مخرب و حمله به زیرساخت‌های بانکی ایران است.

اهمیت بررسی این گروه از آنجا ناشی می‌شود که فعالیت‌های آن‌ها نه تنها کاربران عادی، بلکه سازمان‌ها، نهادهای مالی و حتی امنیت ملی را تحت تأثیر قرار می‌دهد. کمپین‌های بدافزاری که به‌صورت سالانه و گسترده از طریق پیامک‌های جعلی توزیع می‌شوند، تنها یکی از راه‌های نفوذ بدافزارهای تولیدشده توسط این گروه هستند. بررسی و شناسایی دقیق روش‌های کاری گروه لیدیا می‌تواند نقش مهمی در افزایش آگاهی کاربران و جلوگیری از گسترش تهدیدات سایبری در سطح کشور ایفا کند.

ساختار و روش‌های فعالیت گروه لیدیا

گروه لیدیا به‌عنوان یک شبکه سایبری فعال در زمینه تولید بدافزارهای اندرویدی و ربات‌های تلگرامی مخرب شناخته می‌شود. اگرچه اطلاعات دقیقی از ساختار داخلی این گروه در دسترس نیست، اما شواهد موجود نشان می‌دهد که فعالیت‌های آن‌ها به‌صورت منظم و سازمان‌یافته انجام می‌شود.

معرفی کلی ربات

ربات متعلق به گروه لیدیا، یک ابزار مدیریتی پیچیده است که برای کنترل از راه دور دستگاه‌های آلوده و جمع‌آوری اطلاعات حساس طراحی شده است. این ربات قابلیت‌های متنوعی دارد که به مهاجمان اجازه می‌دهد تا پس از آلوده‌سازی گوشی قربانی، اطلاعات مالی، پیامک‌ها، اطلاعات کارت بانکی، و حتی داده‌های ذخیره‌شده در دستگاه را سرقت کنند.

قابلیت‌های فنی ربات

🗂️ دسترسی به اطلاعات حساس

• 📱 App List
• نمایش فهرست تمام برنامه‌های نصب‌شده روی دستگاه، که می‌تواند برای شناسایی اپلیکیشن‌های مالی یا رمزهای عبور ذخیره‌شده مفید باشد.
• 📤 Send SMS / GetLastSms
• دسترسی به پیامک‌های دریافتی و ارسال پیامک بدون اطلاع کاربر. این ویژگی برای دور زدن احراز هویت دو مرحله‌ای (2FA) و سرقت کدهای OTP بانکی کاربرد دارد.
• 📇 Contacts Menu
• استخراج لیست کامل مخاطبین کاربر برای گسترش حملات فیشینگ یا ارسال پیام‌های مخرب به دیگران.
• 📋 Clipboard
• دسترسی به حافظه موقت (Clipboard) دستگاه برای سرقت داده‌هایی مثل رمزهای عبور یا اطلاعات کپی‌شده.

💳 قابلیت‌های مرتبط با سرقت اطلاعات بانکی

• 🏦 Hamrah Bank / Find Cards / Find Balances
• این ماژول‌ها برای جمع‌آوری اطلاعات حساب‌های بانکی قربانی طراحی شده‌اند. آن‌ها می‌توانند اطلاعات کارت‌های بانکی ذخیره‌شده، موجودی حساب، و تراکنش‌های اخیر را استخراج کنند.
• 💵 Get Exchanges
• احتمالاً برای بررسی تراکنش‌های مالی یا تبادل اطلاعات بانکی بین اپلیکیشن‌های مالی و کاربر استفاده می‌شود.

🕵️ ویژگی‌های نظارتی و کنترلی

• 🔇 Mute
• امکان خاموش کردن صدای هشدارها یا اعلان‌های تلفن، به‌منظور جلوگیری از جلب توجه قربانی هنگام انجام عملیات مخرب.
• 🔄 Change Icon
• قابلیت تغییر آیکون برنامه مخرب برای پنهان کردن آن به‌عنوان یک اپلیکیشن بی‌خطر، مثل ابزارهای سیستمی یا برنامه‌های محبوب.
• 📶 Connections
• بررسی وضعیت ارتباطات اینترنتی دستگاه و امکان کنترل از راه دور.
  

روش حمله و فریب کاربران

ربات لیدیا به طور فعال از مهندسی اجتماعی (Social Engineering) برای فریب کاربران استفاده می‌کند:

• پیام‌های جعلی بانکی: کاربران پیامک‌هایی با مضمون جعلی مثل «حساب شما مسدود شده است» دریافت می‌کنند. این پیام‌ها معمولاً به نام بانک‌های معتبر ایرانی (ملت، ملی، صادرات، پارسیان و...) ارسال می‌شوند.
• لینک‌های مخرب: قربانی روی لینکی که در پیامک قرار دارد کلیک می‌کند و به یک صفحه جعلی هدایت می‌شود که شبیه به صفحات رسمی بانک‌ها طراحی شده است.
• سرقت اطلاعات: پس از وارد کردن اطلاعات حساس توسط کاربر (نام کاربری، رمز عبور، اطلاعات کارت بانکی)، داده‌ها مستقیماً به پنل مدیریت گروه لیدیا ارسال می‌شود.
  
  نمونه:

ارزیابی سطح تهدید

دلایل خطرناک بودن این ربات:

1. دسترسی گسترده به داده‌های مالی و شخصی:
   این ربات توانایی جمع‌آوری اطلاعات حساس از پیامک‌ها، کارت‌های بانکی و حساب‌های مالی را دارد.
2. دور زدن احراز هویت دو مرحله‌ای:
   قابلیت خواندن و ارسال پیامک به مهاجمین اجازه می‌دهد تا حتی سیستم‌های امنیتی قوی‌تر را هم دور بزنند.
3. کنترل از راه دور دستگاه قربانی:
   امکان تغییر آیکون برنامه، ارسال پیامک، و کنترل عملکردهای دستگاه بدون اطلاع کاربر.

توصیه‌های امنیتی برای کاربران

• عدم کلیک روی لینک‌های ناشناس: پیام‌های مشکوک بانکی را جدی نگیرید و هیچ‌گاه اطلاعات حساس خود را از طریق لینک‌های ناشناس وارد نکنید.
• بررسی مجوزهای برنامه‌ها: قبل از نصب هر اپلیکیشن، به مجوزهای دسترسی که درخواست می‌کند دقت کنید.
• نصب آنتی‌ویروس معتبر: از برنامه‌های امنیتی برای شناسایی بدافزارهای احتمالی استفاده کنید.
• فعال‌سازی تأیید دو مرحله‌ای: حتی اگر پیامک‌های تأیید را دریافت می‌کنید، از اپلیکیشن‌های OTP برای امنیت بیشتر استفاده کنید.

چالش‌های امنیتی در مقابله با تهدیدات سایبری

یکی از دلایل اصلی موفقیت گروه‌هایی مثل لیدیا، فقدان زیرساخت‌های امنیتی قوی و نبود سیستم‌های دفاعی مناسب در برابر تهدیدات سایبری پیشرفته است. بسیاری از آنتی‌ویروس‌ها و راهکارهای امنیتی موجود، با شرایط و نیازهای خاص اقلیم دیجیتال ایران سازگار نیستند و توانایی شناسایی یا مهار این نوع حملات هدفمند را ندارند.

این ضعف‌ها باعث می‌شود که حتی کاربران محتاط نیز در معرض خطر قرار بگیرند. حملاتی که از طریق بدافزارهای اندرویدی و ربات‌های تلگرامی انجام می‌شوند، معمولاً با تکنیک‌های پیچیده‌ای مثل دور زدن مکانیزم‌های امنیتی پیش‌فرض اندروید و استفاده از مهندسی اجتماعی هوشمندانه همراه هستند؛ موضوعی که تنها با به‌کارگیری راهکارهای امنیتی بومی‌سازی‌شده و آگاهی‌رسانی گسترده می‌توان در برابر آن‌ها ایستادگی کرد.

نتیجه‌گیری

ربات مخرب گروه لیدیا یک تهدید جدی برای کاربران ایرانی است، به‌ویژه کسانی که از خدمات بانکداری آنلاین استفاده می‌کنند. این ربات با ترکیب حملات فیشینگ و بدافزارهای پیشرفته، یک سیستم کامل برای سرقت اطلاعات حساس ایجاد کرده است. افزایش آگاهی کاربران و به‌روزرسانی مداوم سیستم‌های امنیتی می‌تواند نقش مهمی در کاهش خطرات ناشی از این نوع تهدیدات ایفا کند.