TeleRAT خطری دیگر برای کاربران ایرانی
خب، احتمالا همه شما با بات های تلگرامی و کاربردهاشون آشنا هستید. بات های تلگرامی برای راهاندازی نیازی به شماره تلفن اضافی ندارند و معمولا برای بهتر کردن تجربه استفاده از تلگرام ساخته میشن و با بهرهگیری از محتوای سرویسهای خارجی این کاررو انجام میدن.
بدافزارهای آندرویدی که از رابط برنامهنویسی کاربردی یا همون API باتهای تلگرامی سوءاستفاده میکنند برای کاربران، و بهخصوص کاربران ایرانی، خبر تازهای محسوب نمیشن. اگه یادتون باشه تو جولای سال 2017 تروجانی به نام IRRAT بر سر زبونها افتاد که از همین روش برای سودجویی از کاربران استفاده میکرد.
RAT چیست؟
واسه کسایی که ممکنه ندونند باید بگیم که RAT یا همون Remote Access Trojan، همونطور که از اسماش بر میاد، تروجانیاست که به فرد مهاجم مجوز دسترسی از راه دور به سیستم و اطلاعات افراد مورد حمله رو میده.
از IRRAT چه میدانیم؟
براساس گزارشهای قبلی، میدونیم که API باتهای تلگرامی از قدیم توسط مهاجمان برای سرقت اطلاعات مختلف، ازپیام کوتاه گرفته تا لیست تماسها و لیست فایلهای دستگاه آندرویدی آلوده، مورد سوءاستفاده قرار میگرفتن. اکثر برنامههایی که ادعا میکنن با استفاده از اونها میتونین تعداد بازدید پروفایل تلگرام رو ببینید، جزو همین بدافزارها هستند؛ چون تلگرام اصلا اجازه جمع آوری چنین اطلاعاتی رو نمیده. اما همچنان میبینیم که اینگونه بدافزارها به سادگی به دستگاهها راه پیدا میکنند و IRRAT همچنان به بقای خودش ادامه میده.
TeleRAT چیست؟
این تروجان عملکرد تقریبا مشابهای با IRRAT داره اما عواقب به مراتب بدتری در کمین کاربران هستش. TeleRAT به این شکل عمل میکنه که پس از اولین راهاندازی، با ساختن فایل های زیر و ارسال اونها به سرور بارگزاری، حمله خودش رو شروع میکنه:
- “[IMEI] numbers.txt”: اطلاعات تماس
- “[IMEI]acc.txt”: لیست حساب های گوگل ثبت شده بر روی دستگاه
- “[IMEI]sms.txt”: لیست پیام ها
- 1.jpg: عکس گرفته شده با دوربین جلو
- Image.jpg: عکس گرفته شده با دوربین عقب
بعد از این روند، به بات تلگرامی که شناسهاش به صورت hardcoded در تمامی سورس کدهای فایل RAT موجوده، گزارش می کنه و بعد از اون آیکون برنامه از توی لیست برنامه های دستگاه حذف میشه اما همچنان به فعالیت خودش ادامه میده.
سایت unit42 در گزارشی نوشته است که هنگام غربالگری در بین نمونه های IRRAT ، با استفاده از AutoFocus ، به خانواده دیگری از RAT های آندرویدی برخورده که ظاهراً از افرادی در ایران نشأت گرفته و یا آنها را مورد هدف قرار داده است که نه تنها ازAPI تلگرام برای C2 بهره می برد، بلکه برای لاپوشانی اطلاعات سرقت شده نیزاز آن استفاده می کند.
RAT با ارسال پیامی به ربات تلگرام از طریق API تاریخ و زمان فعلی و نصب موفقیت آمیز خود را به مهاجمان اعلام می کند. جالبتر اینکه TeleRAT سرویسی را آغاز می کند که تغییرات ایجاد شده در کلیپ بورد را نیز زیر نظر میگیرد.
TeleRAT از طریق IRRAT ارتقا یافته چون امکان شناسایی مبتنی بر شبکه را که بر اساس ترافیک سرورهای آپلود شناخته شده است از بین می برد و تمامی ارتباطات (از جمله آپلودها) نیز از طریق API ربات تلگرام انجام می شود.
حالا به گفته MalwareHunterTeam، بدافزاری پیدا شده که از نام Psiphon 3، که قندشکن معروفی هستش، استفاده و دستگاه های آندرویدی رو آلوده کرده. به نظر میاد که این بدافزار جزو خانواده TeleRAT ها باشه. این بدافزار توانایی این رو داره که اطلاعات کاربر رو به سرقت ببره، صداهای اطراف رو ضبط کنه و اطلاعات ذخیره شده برروی حافظه خارجی دستگاه رو نیز به طور کامل پاک کنه.
این بدافزار از سکوی ابری فندق استفاده کرده و تیم فندق در توییتر اعلام کردند که سرور فردی که از این بدافزاراستفاده می کرد رو مسدود کردند و منتظر پاسخ از طرف کاربر هستند.