تروجان TeleRAT در کمین تلگرام

به گزارش کارگروه امنیت سایبربان؛ به نظر می‌رسد TeleRAT مبتنی بر هدف قرار دادن افراد در ایران است، کارشناسان شباهت‌های دیگری با نرم‌افزار ضد جاسوسی اندروید IRRAT Trojan پیدا کردند که همچنین API ربات Telegram برای ارتباطات ارتباطی C & C را در بر می‌گیرد.

IRRAT قادر به سرقت اطلاعات مخاطب، فهرست حساب‌های Google ثبت‌شده در دستگاه‌ها، تاریخچه اس ام اس است، همچنین قادر به گرفتن عکس با دوربین‌های جلو و عقب است.

داده‌های سرقت شده بر روی یک سری از فایل‌ها در کارت SD گوشی ذخیره می‌شوند و سپس به یک سرور ارسال می‌شوند. بدافزار IRRAT به یک ربات Telegram گزارش می‌دهد، نماد آن را از منوی برنامه تلفن می‌بیند و در پس‌زمینه در انتظار اجرای دستورات می‌ماند.

بدافزار TeleRAT Android به شیوه‌ای متفاوت عمل می‌کند، دو فایل در دستگاه ایجاد می‌کند، telerat2.txt حاوی اطلاعات مربوط به دستگاه (شماره نسخه سیستم bootloader سیستم، حافظه در دسترس و تعدادی از پردازنده‌های هسته‌ای) و این pakk_slm.txt حاوی کانال Telegram و یک فهرستی از دستورات است که در سیستم اجرا می‌کند.

پس از نصب، کد مخرب مهاجم را با ارسال پیام به یک ربات Telegram از طریق API ربات Telegram با تاریخ و زمان فعلی مطلع می‌کند. این بدافزار همچنین یک سرویس پس‌زمینه را برای تغییراتی که در کلیپ بورد انجام می‌دهد، شروع می‌کند و درنهایت، برنامه را از هر 4.6 ثانیه برای چند دستورالعمل نوشته‌شده در فارسی، به‌روز می‌کند.

TeleRAT قادر به دریافت دستوراتی مانند لیست مخاطبین، لیست برنامه‌ها، دریافت اطلاعات شارژ، لیست مخاطبین، تنظیم تصویر زمینه، دریافت و ارسال پیام کوتاه، گرفتن عکس و دیگر اقدامات مخرب را اجرا می‌کند.

TeleRAT همچنین قادر به آپلود کردن داده‌های فشرده‌شده با استفاده از روش sendDocument API Telegram هست.

بدافزار قادر به دریافت به‌روزرسانی‌ها به دو روش است یعنی روش getUpdates (که تاریخچه تمامی دستورات ارسال‌شده به ربات را شامل می‌شود، از جمله نامهای کاربری که دستورات از آن شروع می‌شود) و استفاده از Webhook (به‌روزرسانی ربات می‌تواند هدایت شود به آدرس HTTPS که با استفاده از یک Webhook مشخص‌شده است).

بدافزار TeleRAT از طریق برنامه‌های ظاهراً قانونی در فروشگاه‌های نرم‌افزاری بدافزار TeleRAT از طریق برنامه‌های ظاهراً قانونی در فروشگاه‌های نرم‌افزاری اندورید شخصی و همچنین از طریق کانال‌های قانونی و ناسازگار تلگرامی موجود در ایران فعالیت می‌کنند. این در حالی است که با توجه به بررسی کارشناسان امنیتی موسسه PaloAlto در حال حاضر درمجموع بیش از 2293 کاربر به این بدافزار آلوده‌شده‌اند که بیش از 82 درصد از این کاربران را کاربرانی از ایران تشکیل می‌دهد.

 این کمپین دارای OPSEC ضعیف است و کارشناسان یک تصویر از هک شدن با استفاده از تروجان را نشان می‌دهند. در این میان تجزیه‌وتحلیل کدهای مخرب نشان‌دهنده نام کاربری توسعه‌دهنده این نرم‌افزارهای مخرب ایست که اشاره به کانال تلگرامی vahidmail67 می‌کند در این میان این کانال به تبلیغ برنامه‌های کاربردی می‌پردازد که حاوی برنامه‌های مخرب و نامعلوم هست.

کارشناسان اشاره‌کرده‌اند که TeleRAT کدگذاری شده توسط چندین توسعه‌دهنده را شامل می‌شود، ازجمله کد منبع آزاد در دسترس از طریق کانال‌های Telegram و کد ارائه‌شده برای فروش در چندین انجمن است که در پشت پرده بدافزار IRRAT و TeleRAT قرار دارد.