کمیته رکن چهارم – کارشناسان امنیتی یک تروجان جدید را به نام TeleRAT کشف کردند که با استفاده از Telegram Bot API برای برقراری ارتباط با سرور کنترل، دادهها را شناسایی میکند.
به نظر میرسد TeleRAT مبتنی بر هدف قرار دادن افراد در ایران است، کارشناسان شباهتهای دیگری با نرمافزار ضد جاسوسی اندروید IRRAT Trojan پیدا کردند که همچنین API ربات Telegram برای ارتباطات ارتباطی C & C را در بر میگیرد.
IRRAT قادر به سرقت اطلاعات مخاطب، فهرست حسابهای Google ثبتشده در دستگاهها، تاریخچه اس ام اس است، همچنین قادر به گرفتن عکس با دوربینهای جلو و عقب است.
دادههای سرقت شده بر روی یک سری از فایلها در کارت SD گوشی ذخیره میشوند و سپس به یک سرور ارسال میشوند. بدافزار IRRAT به یک ربات Telegram گزارش میدهد، نماد آن را از منوی برنامه تلفن میبیند و در پسزمینه در انتظار اجرای دستورات میماند.
بدافزار TeleRAT Android به شیوهای متفاوت عمل میکند، دو فایل در دستگاه ایجاد میکند، telerat2.txt حاوی اطلاعات مربوط به دستگاه (شماره نسخه سیستم bootloader سیستم، حافظه در دسترس و تعدادی از پردازندههای هستهای) و این pakk_slm.txt حاوی کانال Telegram و یک فهرستی از دستورات است که در سیستم اجرا میکند.
پس از نصب، کد مخرب مهاجم را با ارسال پیام به یک ربات Telegram از طریق API ربات Telegram با تاریخ و زمان فعلی مطلع میکند. این بدافزار همچنین یک سرویس پسزمینه را برای تغییراتی که در کلیپ بورد انجام میدهد، شروع میکند و درنهایت، برنامه را از هر ۴٫۶ ثانیه برای چند دستورالعمل نوشتهشده در فارسی، بهروز میکند.
TeleRAT قادر به دریافت دستوراتی مانند لیست مخاطبین، لیست برنامهها، دریافت اطلاعات شارژ، لیست مخاطبین، تنظیم تصویر زمینه، دریافت و ارسال پیام کوتاه، گرفتن عکس و دیگر اقدامات مخرب را اجرا میکند.
TeleRAT همچنین قادر به آپلود کردن دادههای فشردهشده با استفاده از روش sendDocument API Telegram هست.
بدافزار قادر به دریافت بهروزرسانیها به دو روش است یعنی روش getUpdates (که تاریخچه تمامی دستورات ارسالشده به ربات را شامل میشود، از جمله نامهای کاربری که دستورات از آن شروع میشود) و استفاده از Webhook (بهروزرسانی ربات میتواند هدایت شود به آدرس HTTPS که با استفاده از یک Webhook مشخصشده است).
بدافزار TeleRAT از طریق برنامههای ظاهراً قانونی در فروشگاههای نرمافزاری بدافزار TeleRAT از طریق برنامههای ظاهراً قانونی در فروشگاههای نرمافزاری اندورید شخصی و همچنین از طریق کانالهای قانونی و ناسازگار تلگرامی موجود در ایران فعالیت میکنند. این در حالی است که با توجه به بررسی کارشناسان امنیتی موسسه PaloAlto در حال حاضر درمجموع بیش از ۲۲۹۳ کاربر به این بدافزار آلودهشدهاند که بیش از ۸۲ درصد از این کاربران را کاربرانی از ایران تشکیل میدهد.
این کمپین دارای OPSEC ضعیف است و کارشناسان یک تصویر از هک شدن با استفاده از تروجان را نشان میدهند. در این میان تجزیهوتحلیل کدهای مخرب نشاندهنده نام کاربری توسعهدهنده این نرمافزارهای مخرب ایست که اشاره به کانال تلگرامی vahidmail67 میکند در این میان این کانال به تبلیغ برنامههای کاربردی میپردازد که حاوی برنامههای مخرب و نامعلوم هست.
کارشناسان اشارهکردهاند که TeleRAT کدگذاری شده توسط چندین توسعهدهنده را شامل میشود، ازجمله کد منبع آزاد در دسترس از طریق کانالهای Telegram و کد ارائهشده برای فروش در چندین انجمن است که در پشت پرده بدافزار IRRAT و TeleRAT قرار دارد.
منبع : سایبربان
