مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای با اشاره به انتشار «تروجان» کنترل از راه دور جدید اندرویدی مبتنی بر تلگرام، به کاربران توصیه کرد از نصب برنامه هایی با نام شرکت های سازنده ناشناس خوداری کنند.
تروجان، برنامه مخربی است که به صورت یک نرم افزار جالب به نظر میرسد بر عکس ویروسها، تروجانها تکثیر نمی شوند ولی به اندازه ویروس ها مخرب هستند.
لغت تروجان برگرفته از افسانه یونانی جنگ تروجان است در این داستان یونانیها از طریق هدیه دادن اسب چوبی بزرگی به دشمنانشان، تعدادی سرباز به قلعه آنها فرستادند سپس این سربازها از داخل اسب بیرون آمده و درب قلعه را باز کردند تا دیگر افراد به داخل قلعه بیایند و قلعه را فتح کنند.
این عملی است که تروجان با کامپیوتر شما انجام میدهد تروجان ابتدا به قسمت های مختلف نفوذ میکند سپس، راهی برای آسیب به آنها پیدا خواهد کرد.
در همین پیوند و بر اساس گزارش مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای هرورت(HeroRat) تروجان کنترل از راه دور جدید اندرویدی مبتنی بر تلگرام است.
مرکز ماهر در گزارش خود متذکرشد: تلگرام به خاطر امنیت کافی و امکانات زیادی که در اختیار توسعهدهندگان قرار میدهد، مورد توجه توسعهدهندگان و در نتیجه هکرها نیز هست و اکنون کارشناسان شرکت ایست (ESET) پرده از سومین تروجان کنترل از راه دور اندرویدی برداشتهاند که با استفاده از یک ربات تلگرامی کنترل میشود. این تروجان تحت نام برنامههایی فریبنده روی دستگاه کاربر نصب شده و کنترل کامل دستگاه را به دست هکرها میسپارد.
براساس گزارش مرکز ماهر، کارشناسان در ابتدا بر این باور بودند که فعالیتهای جدیدی که مشاهده کرده اند نتیجه فعالیت دو تروجان کنترل از راه دور(IRRATو TeleRAT) است که پیشتر شناسایی شده بودند؛ این دو تروجان نیز از پروتکل تلگرام استفاده می کنند.
گزارش مرکز ماهر ادامه می دهد: اما پس از بررسیهای دقیقتر، کارشناسان به این نتیجه رسیدند که با یک خانواده جدید بدافزار روبرو هستند که لااقل از آگوست سال 2017 (مرداد – شهریور 96) در حال فعالیت است؛ در ماه مارس 2018 (اسفند – فروردین گذشته) کد منبع این بدافزار توسط کانالهای تلگرامی هکرها منتشر شد و در نتیجه هزاران نسخه از این بدافزار اکنون به صورت موازی در حال فعالیت است.
در این گزارش، یکی از این توزیعها که با بقیه متفاوت است مورد بررسی قرار گرفته است جدای از اینکه کد منبع این توزیع به صورت رایگان وجود دارد، روی کانالهای تلگرامی به صورت فروشی تحت عنوان( HeroRat) قرار دارد. این بدافزار با سه طرح و قیمت مختلف به همراه ویدیوهای راهنما ارایه میشود و معلوم نیست که کدامیک از این نسخهها از کدی که منتشر شده ساخته شده و یا اگر این نسخه اصلی بدافزار است کد کدامیک از نسخهها منتشر شده است.
در ادامه گزارش مرکز ماهرآمده است: مهاجمان با استفاده از نام برنامههای مختلف کاربران را ترغیب می کنند که این بدافزار را نصب کنند (برنامههایی که معمولاً از طریق شبکههای اجتماعی و یا بازارهای ناامن در اختیار کاربران قرار میگیرد). این بدافزار در ایران به صورت برنامههایی برای استخراج بیتکوین، اتصال رایگان اینترنت و اضافه کردن فالوور در شبکههای اجتماعی دیده شده است و هیچکدام از این بدافزارها در گوگلپلی مشاهده نشدهاند.
براساس گزارش مرکز ماهر، این بدافزار روی همه نسخههای اندروید اجرا میشود اما بدافزار برای اجرای درست نیاز به اجازههایی دارد که از کاربر میگیرد در این مرحله با ترفندهای مهندسی اجتماعی این اجازهها از کاربر گرفته میشود.
مرکز ماهر اعلام کرد: پس از نصب بدافزار و اجرای آن روی دستگاه قربانی، یک پیام به نمایش در آمده و اعلام میکند که این برنامه امکان اجرا روی دستگاه را نداشته و بنابراین حذف خواهد شد در نسخههای بررسی شده یک پیام به زبان فارسی یا انگلیسی، بسته به زبان پیشفرض دستگاه، به کاربر نشان داده میشود.
در ادامه آمده است: پس از اینکه به نظر میرسد فرایند حذف برنامه تمام شده است، آیکون برنامه هم حذف میشود؛ اما مهاجم همچنان کنترل کامل روی دستگاه قربانی دارد و با ایجاد دسترسی روی دستگاه قربانی، مهاجم با استفاده از بات تلگرام، میتواند کنترل دستگاه را به دست گیردهر دستگاه تسخیر شده توسط یک بات کنترل میشود که توسط مهاجم روی برنامه تلگرام ایجاد میشود.
مرکز ماهر اعلام کرد: بدافزار قابلیتهای جاسوسی و استخراج داده زیاد و قدرتمندی دارد؛ سرقت فهرست پیامها و مخاطبین، ارسال و دریافت تماس و پیام کوتاه، ضبط صدا و تصویر صفحه نمایش، پیدا کردن محل تلفن همراه و کنترل تنظیمات دستگاه از قابلیتهای این بدافزار است.
قابلیتهای بدافزار HeroRat در سه سطح دستهبندی شده و برای فروش ارایه شده است. سطح برنزی، نقرهای و طلایی این بدافزار به ترتیب 25، 50 و 100 دلار قیمت دارند. همچنین کد منبع این بدافزار با قیمت 650 دلار به فروش میرسد و قابلیتهای بدافزار به صورت دکمههایی در بات تلگرام قابل دسترسی هستند مهاجم میتواند به سادگی و با استفاده از این دکمهها، دستگاه قربانی را کنترل کند.
مرکز ماهر اعلام کرد: بر خلاف تروجانهای قبلی که از پروتکل تلگرام سو استفاده می کردند و با جاوا توسعه یافته بودند، این بدافزار با یک ابزار کم کاربرد برای توسعه برنامههای اندرویدی توسعه یافته است.
از این رو با توجه به اینکه کد منبع این بدافزار به صورت رایگان در دسترس قرار دارد، امکان دارد با نامهای مختلفی توزیع شده و دستگاههای زیادی را آلوده کند این تنوع کار را برای تشخیص بدافزار سخت میکند.
مرکز ماهر توصیه کرد برای جلوگیری از آلودگی توسط این بدافزار و بدافزارهای مشابه، توصیه میشود تا هیچ گاه برنامهای از منبعی غیر از بازارهای رسمی برنامههای اندرویدی و گوگل پلی نصب نشود. همچنین بایستی از نصب برنامههایی با نام شرکت سازنده ناشناس خودداری کرد. در زمان نصب برنامه نیز باید به اجازههایی که برنامه از کاربر میگیرد، دقت کرد.