تروجان اندرویدی جدید TeleRAT علیه کاربران ایرانی

خلاصه: محققان امنیتی یک تروجان اندرویدی جدید به‌نام TeleRAT را کشف کرده‌اند که از API بات تلگرام برای ارتباط با سرور کنترل و فرمان (C&C) و استخراج داده، استفاده می‌کند. به‌نظر می‌رسد که TeleRAT برای هدف قرار دادن اشخاص در ایران به وجود آمده است. به‌گفته‌ی کارشناسان، بدافزار TeleRAT از طریق برنامه‌های ظاهرا قانونی و همچنین از طریق کانال‌های قانونی و البته ناسازگار تلگرامی ایران، توزیع می‌شود. توصیه می‌کنیم از دانلود و نصب برنامه‌های اندرویدی از فروشگاه‌ها و کانال‌های تلگرامی غیرقابل اعتماد خودداری فرمایید.

 

محققان امنیتی یک تروجان اندرویدی جدید به‌نام TeleRAT را کشف کرده‌اند که از API بات تلگرام برای ارتباط با سرور کنترل و فرمان (C&C) و استخراج داده، استفاده می‌کند.

به‌نظر می‌رسد که TeleRAT برای هدف قرار دادن اشخاص در ایران به وجود آمده است. محققان شباهت‌هایی را بین این بدافزار و تروجان IRRAT کشف کرده‌اند که از API بات تلگرام برای ارتباطات کنترل و فرمان استفاده می‌کند.

IRRAT قادر به دزدیدن اطلاعات مخاطب، یک لیست از حساب‌های گوگل ثبت شده در دستگاه و تاریخچه‌ی sms بوده و همچنین می‌تواند با استفاده از دوربین جلو و عقب عکس بگیرد. داده‌های دزدیده شده توسط این بدافزار روی یک سری فایل بر روی کارت SD تلفن ذخیره شده و سپس به یک سرور آپلود ارسال می‌شوند.

بدافزار اندرویدی TeleRAT به‌شیوه‌ای متفاوت عمل می‌کند، این بدافزار دو فایل را روی دستگاه ایجاد می‌کند: telerat2.txt که شامل اطلاعات دستگاه (مانند شماره نسخه bootloader سیستم، حافظه‌ی در دسترس و تعداد هسته‌های پردازنده) می‌باشد و thisapk_slm.txt که شامل یک کانال تلگرام و یک لیست از دستورات می‌باشد.

پس از نصب، کد مخرب، مهاجمین را با ارسال یک پیام به یک بات تلگرام از طریق API بات تلگرام، آگاه می‌کند. همچنین این بدافزار یک سرویس پس‌زمینه را آغاز می‌کند، که به تغییرات ایجاد شده در clipboard گوش می‌کند، و در نهایت، برنامه به‌روزرسانی‌ها را از API بات تلگرام در هر ۴.۶ ثانیه با گوش دادن به دستورات متعددی که به‌فارسی نوشته شده‌اند، دریافت می‌کند.

TeleRAT قادر به دریافت دستورات برای گرفتن مخاطبین، موقعیت، لیست برنامه‌ها یا محتوای clipboard، دریافت اطلاعات شارژ، ایجاد مخاطب، تنظیم تصویر پس‌زمینه، ارسال و دریافت sms، گرفتن عکس، حذف برنامه، دریافت یا برقراری تماس، خاموش کردن صفحه‌ی تلفن و گرفتن عکس از گالری می‌باشد.

TeleRAT همچنین قادر به آپلود داده‌های استخراج شده با استفاده از متد Send Document از API تلگرام می‌باشد، با استفاده از این روش، این بدافزار از شناساسی مبتنی بر شبکه نیز جلوگیری می‌کند.

بدافزار TeleRAT از طریق برنامه‌های ظاهرا قانونی و همچنین از طریق کانال‌های قانونی و البته ناسازگار تلگرامی ایران، توزیع می‌شود. به‌گفته‌ی محققان ظاهرا حدود ۲۲۹۳ کاربر آلوده شده‌اند، که بیشتر آن‌ها (۸۲ درصد) شماره تلفن‌های ایرانی دارند.

تجزیه و تحلیل کد مخرب نشان می‌دهد که این کد شامل نام کاربری توسعه‌دهنده و یک ارجاع به کانال تلگرامی vahidmail67 می‌باشد، این کانال برنامه‌های کاربردی‌ای را برای گرفتن لایک و دنبال‌کننده در اینستاگرام، گرفتن باج‌افزار و حتی کد منبع RAT ناشناخته، تبلیغ می‌کند.

به‌گفته‌ی کارشناسان، TeleRAT از ترکیب چند کد نوشته شده توسط چندین توسعه‌دهنده ایجاد شده است، و این باعث می‌شود که به‌راحتی نتوان دو بدافزار TeleRAT و IRRAT را به یک شخص یکسان نسبت داد. کارشناسان به این نتیجه رسیده‌اند که این بدافزار احتمالا کار چندین نفر در داخل ایران می‌باشد.

توصیه می‌کنیم از دانلود و نصب برنامه‌های اندرویدی از فروشگاه‌ها و کانال‌های تلگرامی غیرقابل اعتماد خودداری فرمایید.