خب، احتمالا همه شما با بات های تلگرامی و کاربردهاشون آشنا هستید. بات های تلگرامی برای راه‌اندازی نیازی به شماره تلفن اضافی ندارند و معمولا برای بهتر کردن تجربه استفاده از تلگرام ساخته میشن و با بهره‌گیری از محتوای سرویس‌های خارجی این کاررو انجام میدن. 

بدافزارهای آندرویدی که از رابط برنامه‌نویسی کاربردی یا همون API بات‌های تلگرامی سوءاستفاده می‌کنند برای کاربران، و به‌خصوص کاربران ایرانی، خبر تازه‌ای محسوب نمیشن. اگه یادتون باشه تو جولای سال 2017 تروجانی به نام IRRAT بر سر زبون‌ها افتاد که از همین روش برای سودجویی از کاربران استفاده می‌کرد.

 

RAT چیست؟

واسه کسایی که ممکنه ندونند باید بگیم که RAT یا همون Remote Access Trojan، همونطور که از اسم‌اش بر میاد، تروجانی‌است که به فرد مهاجم مجوز دسترسی از راه دور به سیستم و اطلاعات افراد مورد حمله رو میده.

 

از IRRAT چه می‌دانیم؟

براساس گزارش‌های قبلی، می‌دونیم که API بات‌های تلگرامی از قدیم توسط مهاجمان برای سرقت اطلاعات مختلف، ازپیام کوتاه گرفته تا لیست تماس‌ها و لیست فایل‌های دستگاه‌ آندرویدی آلوده، مورد سوءاستفاده قرار می‌گرفتن. اکثر برنامه‌هایی که ادعا می‌کنن با استفاده از اون‌ها می‌تونین تعداد بازدید پروفایل تلگرام رو ببینید، جزو همین بدافزارها هستند؛ چون تلگرام اصلا اجازه جمع آوری چنین اطلاعاتی رو نمیده. اما همچنان می‌بینیم که اینگونه بدافزارها به سادگی به دستگاه‌ها راه پیدا می‌کنند و IRRAT همچنان به بقای خودش ادامه میده.

 

TeleRAT چیست؟

این تروجان عملکرد تقریبا مشابه‌ای با IRRAT داره اما عواقب به مراتب بدتری در کمین کاربران هستش. TeleRAT به این شکل عمل می‌کنه که پس از اولین راه‌اندازی، با ساختن فایل های زیر و ارسال اون‌ها به سرور بارگزاری، حمله خودش رو شروع می‌کنه: 

 

• “[IMEI] numbers.txt”: اطلاعات تماس
• “[IMEI]acc.txt”: لیست حساب های گوگل ثبت شده بر روی دستگاه
• “[IMEI]sms.txt”: لیست پیام ها
• 1.jpg: عکس گرفته شده با دوربین جلو
• Image.jpg: عکس گرفته شده با دوربین عقب

بعد از این روند، به بات تلگرامی که شناسه‌اش به صورت hardcoded در تمامی سورس کدهای فایل RAT موجوده، گزارش می کنه و بعد از اون آیکون برنامه از توی لیست برنامه های دستگاه حذف میشه اما همچنان به فعالیت خودش ادامه میده.

 

سایت unit42 در گزارشی نوشته است که هنگام غربالگری در بین نمونه های IRRAT ، با استفاده از AutoFocus ، به خانواده دیگری از RAT های آندرویدی برخورده که ظاهراً از افرادی در ایران نشأت گرفته و یا آنها را مورد هدف قرار داده است که نه تنها ازAPI تلگرام برای C2 بهره می برد، بلکه برای لاپوشانی اطلاعات سرقت شده نیزاز آن استفاده می کند.

 

 

RAT با ارسال پیامی به ربات تلگرام از طریق API  تاریخ و زمان فعلی و  نصب موفقیت آمیز خود را به مهاجمان اعلام می کند. جالبتر اینکه TeleRAT سرویسی را آغاز می کند که تغییرات ایجاد شده در کلیپ بورد را نیز زیر نظر می‌گیرد.

 

TeleRAT از طریق IRRAT ارتقا یافته چون امکان شناسایی مبتنی بر شبکه را که بر اساس ترافیک سرورهای آپلود شناخته شده است از بین می برد و تمامی ارتباطات (از جمله آپلودها) نیز از طریق API ربات تلگرام انجام می شود.

 

حالا به گفته MalwareHunterTeam، بدافزاری پیدا شده که از نام Psiphon 3، که قندشکن معروفی هستش، استفاده و دستگاه های آندرویدی رو آلوده کرده. به نظر میاد که این بدافزار جزو خانواده TeleRAT ها باشه. این بدافزار توانایی این رو داره که اطلاعات کاربر رو به سرقت ببره، صداهای اطراف رو ضبط کنه و اطلاعات ذخیره شده برروی حافظه خارجی دستگاه رو نیز به طور کامل پاک کنه.

 

این بدافزار از سکوی ابری فندق استفاده کرده و تیم فندق در توییتر اعلام کردند که سرور فردی که از این بدافزاراستفاده می کرد رو مسدود کردند و منتظر پاسخ از طرف کاربر هستند.