تلگرام به خاطر امنیت کافی و امکانات زیادی که در اختیار توسعهدهندگان قرار میدهد، مورد توجه توسعهدهندگان و درنتیجه هکرها نیز هست. اکنون کارشناسان شرکت ESETپرده از سومین تروجان کنترل از راه دور اندرویدی برداشتهاند که با استفاده از یک ربات تلگرامی کنترل میشود. این تروجان تحت نام برنامههایی فریبنده روی دستگاه کاربر نصب شده و کنترل کامل دستگاه را به دست هکرها میسپارد.
محققان شرکت امنیتی ESETیک خانواده جدید از تروجانهای کنترل از راه دور (RAT) اندروید را کشف نمودهاند که از پروتکل تلگرام برای کنترل و فرمان و استخراج داده سوء استفاده مینماید.
در ابتدا کارشناسان بر این باور بودهاند که فعالیتهای جدیدی که مشاهده نمودهاند نتیجه فعالیت دو تروجان کنترل از راه دور IRRATوTeleRATاست که قبلاً شناسایی شده بودهاند. این دو تروجان نیز از پروتکل تلگرام استفاده مینمایند. اما پس از بررسیهای دقیقتر، کارشناسان به این نتیجه رسیدند که با یک خانواده جدید بدافزار روبرو هستند که لااقل از آگوست سال 2017 در حال فعالیت است. در ماه مارس 2018 کد منبع این بدافزار توسط کانالهای تلگرامی هکرها منتشر شد و در نتیجه هزاران نسخه از این بدافزار اکنون به صورت موازی در حال فعالیت است.
در این گزارش، یکی از این توزیعها که با بقیه متفاوت است مورد بررسی قرار گرفته است. جدای از اینکه کد منبع این توزیع به صورت رایگان وجود دارد، روی کانالهای تلگرامی به صورت فروشی تحت عنوان HeroRatقرار دارد. این بدافزار با سه طرح و قیمت مختلف به همراه ویدیوهای راهنما ارایه میشود. معلوم نیست که کدامیک از این نسخهها از کدی که منتشر شده ساخته شده و یا اگر این نسخه اصلی بدافزار است کد کدامیک از نسخهها منتشر شده است.
مهاجمین با استفاده از نام برنامههای مختلف کاربران را ترغیب مینمایند که این بدافزار را نصب نمایند (برنامههایی که معمولاً از طریق شبکههای اجتماعی و یا بازارهای ناامن در اختیار کاربران قرار میگیرد). این بدافزار در ایران به صورت برنامههایی برای استخراج بیتکوین، اتصال رایگان اینترنت و اضافه کردن فالوور در شبکههای اجتماعی دیده شده است. هیچکدام از این بدافزارها در گوگلپلی مشاهده نشدهاند.
این بدافزار روی همه نسخههای اندروید اجرا میشود. اما بدافزار برای اجرای درست نیاز به اجازههایی دارد که از کاربر میگیرد. در این مرحله معمولاً با ترفندهای مهندسی اجتماعی این اجازهها از کاربر گرفته میشود.
پس از نصب بدافزار و اجرای آن روی دستگاه قربانی، یک پیام به نمایش در آمده و اعلام میکند که این برنامه امکان اجرا روی دستگاه را نداشته و بنابراین حذف خواهد شد. در نسخههای بررسی شده یک پیام به زبان فارسی یا انگلیسی، بسته به زبان پیشفرض دستگاه، به کاربر نشان داده میشود.
پس از اینکه به نظر میرسد فرایند حذف برنامه تمام شده است، آیکون برنامه هم حذف میشود؛ اما مهاجم همچنان کنترل کامل روی دستگاه قربانی دارد.
با ایجاد دسترسی روی دستگاه قربانی، مهاجم با استفاده از بات تلگرام، میتواند کنترل دستگاه را به دست گیرد. هر دستگاه تسخیر شده توسط یک بات کنترل میشود که توسط مهاجم روی برنامه تلگرام ایجاد میشود.
بدافزار قابلیتهای جاسوسی و استخراج داده زیاد و قدرتمندی دارد. سرقت لیست پیامها و مخاطبین، ارسال و دریافت تماس و پیام کوتاه، ضبط صدا و تصویر صفحه نمایش، پیدا کردن محل تلفن همراه و کنترل تنظیمات دستگاه از قابلیتهای این بدافزار است.
قابلیتهای بدافزار HeroRatدر سه سطح دستهبندی شده و برای فروش ارایه شده است. سطح برنزی، نقرهای و طلایی این بدافزار به ترتیب 25، 50 و 100 دلار قیمت دارند. همچنین کد منبع این بدافزار با قیمت 650 دلار به فروش میرسد.
قابلیتهای بدافزار به صورت دکمههایی در بات تلگرام قابل دسترسی هستند. مهاجم میتواند به سادگی و با استفاده از این دکمهها، دستگاه قربانی را کنترل کند.
بر خلاف تروجانهای قبلی که از پروتکل تلگرام سو استفاده مینمودند و با جاوا توسعه یافته بودند، این بدافزار با زبان C#و فریمورک Xamarinکه یک ابزار کم کاربرد برای توسعه برنامههای اندرویدی است توسعه یافته است.
نحوه استفاده بدافزار از پروتکل تلگرام با زبان توسعه بدافزار وفق داده شده و این بدافزار از کتابخانه Telesharpبرای ایجاد بات در زبان C#استفاده مینماید. همچنین علاوه بر ارتباط برای دستور به بدافزار، برای استخراج اطلاعات نیز از پروتکل تلگرام استفاده میشود.
با توجه به اینکه کد منبع این بدافزار به صورت رایگان در دسترس قرار دارد، امکان دارد با نامهای مختلفی توزیع شده و دستگاههای زیادی را آلوده نماید. این تنوع کار را برای تشخیص بدافزار سخت میکند.
برای جلوگیری از آلودگی توسط این بدافزار و بدافزارهای مشابه، توصیه میشود تا هیچ گاه برنامهای از منبعی غیر از بازارهای رسمی برنامههای اندرویدی و ترجیحاً گوگل پلی نصب نشود. همچنین بایستی از نصب برنامههایی با نام شرکت سازنده ناشناس خودداری نمود. در زمان نصب برنامه نیز باید به اجازههایی که برنامه از کاربر میگیرد دقت نمود.
منبع : مرکز Cert