برنامکی که از طریق Telegram Bot از کاربران ایرانی جاسوسی می‌کند

به گزارش شرکت مهندسی شبکه گستر، حدود یک ماه پیش یکی از شرکت‌های ضدویروس از انتشار جاسوس‌افزاری تحت سیستم عامل اندروید خبر داد که حجم قابل توجهی از داده‌های شخصی کاربر را از روی دستگاه جمع‌آوری کرده و آنها را به یک سرور در ایران ارسال می‌کند.

روز دوشنبه، 26 تیر ماه، شرکت ضدویروس Avast Software نیز گزارشی در خصوص این جاسوس‌افزار منتشر کرد که بیانگر فعال بودن آن با وجود گذشت یک ماه از شناسایی این جاسوس‌افزار است. مشروح این گزارش در ادامه این خبر قابل مطالعه است.

این جاسوس‌افزار در قالب چندین برنامک مختلف منتشر شده است. یکی از این برنامک‌ها با عنوان “اینستا پلاس” ادعا می‌کند که تعداد بازدید‌کنندگان نمایه تلگرام کاربر را نمایش می‌دهد. چند نمونه دیگر از این جاسوس‌افزار نیز در قالب برنامک‌های Cleaner Pro و ‌Profile Checker کاربر را تشویق به نصب آن می‌کنند.

عملکرد کد مخرب جاسوس‌افزار، تقریباً در همه این برنامک‌ها یکسان بوده و هدف آن سرقت داده‌های شخصی قربانی از روی دستگاه اندروید آلوده شده است. مکانیزم ارتباط این جاسوس‌افزار با سرور فرماندهی خود نیز از طریق توابع Telegram Bot صورت می‌گیرد و بنابراین نویسنده یا نویسندگان آن عملاً خود سیستمی برای این منظور برنامه‌نویسی و پیاده‌سازی نکرده‌اند.

به محض دریافت برخی از برنامک‌های مذکور از کاربر خواسته می‌شود اطلاعات اصالت‌سنجی حساب تلگرام خود را وارد کند. برنامک دلیل این درخواست را اعلام تعداد کاربرانی که نمایه آن کاربر را مشاهده کرده اند معرفی می‌کند. اما در حقیقت این برنامک فقط یک عدد تصادفی را به کاربر نشان می‌دهد!

اینستاپلاس

برنامک برای مدتی فعالیت خود را متوقف کرده و نشان خود را هم مخفی می‌کند. تا جایی که ممکن است بسیاری از کاربران تصور کنند که برنامک از روی دستگاه حذف شده است. اما پس از مدتی کد مخرب در پشت صحنه فعالیت خود را از سر می‌گیرد.

اینستا پلاس

یکی از کارهایی که این برنامک انجام می‌دهد گرفتن عکس با استفاده از دوربین جلوی دستگاه است. اما جاسوسی آن محدود به انجام این کار نیست. اطلاعات تماس، پیامک‌های دریافتی و ارسالی (شامل شماره تماس فرستنده یا گیرنده و متن پیامک)، اطلاعات حساب گوگل و موقعیت دستگاه همگی در فایل‌هایی جداگانه ذخیره شده و سپس به سرور مهاجم ارسال می‌شوند.

این جاسوس افزار قادر است که هر یک از فرامین زیر را از سرور فرماندهی دریافت کرده و آنها را بر روی دستگاه اجرا کند:

  • برقراری تماس یا ارسال پیامک
  • ارسال اطلاعات در خصوص برنامک‌های نصب شده و فایل‌های در دسترس
  • ارسال هر فایل به سرور یا حتی حذف آنها

جاسوس‌افزار، فایل‌ها را از طریق اسکریپت PHP به سرور فرماندهی ارسال کرده و آنها در مسیر rat/uploads/ بر روی سرور ذخیره می‌کند. به دلیل بی‌توجهی نویسنده یا نویسندگان این جاسوس‌افزار به موارد امنیتی، این فایل‌ها برای هر کس که از نشانی سرور و این مسیر اطلاع داشته باشد قابل دسترس هستند.

اسکریپت استفاده شده نیز بسیار ابتدایی بوده و ورودی‌ها را کنترل و بررسی نمی‌کند.

شرکت Avast Software اعلام کرده که مسیر مذکور حاوی چندین فایل مخرب است که احتمالاً پس از انتشار خبر یک ماه قبل در خصوص این برنامک های آلوده، توسط افرادی دیگر – بغیر از نویسنده یا نویسندگان جاسوس‌افزار – کپی شده اند.

برای ایمن ماندن از گزند این نوع بدافزارها، رعایت موارد زیر توصیه می‌شود:

  • سیستم عامل و برنامک‌های نصب شده بر روی دستگاه همراه خود را همیشه به آخرین نسخه ارتقاء دهید.
  • برنامک‌ها را فقط از بازار توزیع دیجیتال رسمی شرکت Googleو (Play Store) یا حداقل بازارهای مورد اعتماد معروف دریافت کنید. همچنین از غیرفعال بودن گزینه Unknown sources در بخش Settings و از فعال بودن گزینه Scan device for security threats در قسمت Google Settings دستگاه اطمینان داشته باشید. با غیرفعال بودن گزینه نخست، از اجرا شدن فایل‌های APK میزبانی شده در بازارهای ناشناخته بر روی دستگاه جلوگیری می‌شود. وظیفه گزینه دوم نیز پایش دوره‌ای دستگاه است.
  • پیش از نصب هر برنامک امتیاز و توضیحات کاربران آن را مرور کرده و به نکات منفی توضیحات کاربران بیشتر توجه کنید.
    به حق دسترسی‌های درخواستی برنامک در زمان نصب توجه کنید. اگر فهرست آن به‌طور غیرعادی طولانی بود از نصب آن اجتناب کنید.
  • از راهکارهای امنیتی قدرتمند برای حفاظت از دستگاه‌های همراه خود یا سازمانتان استفاده کنید.

اشتراک گذاری

Facebook
Twitter
WhatsApp
Telegram

نظرات

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *