Spy.Android.Agent.Oe

شرح کلی

نوع: جاسوس افزار (Spyware)
اسامی بدافزار:
Spy.Android.Agent.Oe
درجه تخریب: متوسط
میزان شیوع: متوسط

جاسوس افزار (Spyware) چیست؟

اين گونه از بدافزارها براي اهداف جاسوسي و سرقت اطلاعات شخصي و سازماني مورد استفاده قرار مي‌گيرند. با نصب شدن spyware بر روي گوشی، هميشه اطلاعات کاربر از نظر امنيتي در معرض تهديد قرار دارد و در هر لحظه ممکن است این اطلاعات به سرقت رفته و به افراد غير مجاز تحويل داده شود. معمولا جاسوس افزارها به صورت پنهان و به دور از ديد کاربر بر روي گوشی نصب مي‌شوند و به‌ صورت کاملا مخفيانه فعاليت‌هاي خود را انجام مي‌دهند. ‫جاسوس افزارها معمولا با فريب دادن کاربران در اينترنت، در قالب یک برنامه کاربردی و مفید بر روي گوشی آنها نصب مي‌شوند. به طور معمول این نوع از بدافزارها اطلاعاتي در خصوص فعاليت‌هاي يک کاربر بر روي گوشی اعم از پسوردها، اطلاعات کارت‌هاي اعتباري و ساير اطلاعات امنیتی از قبيل کليدهاي فشرده شده توسط کاربر، لیست تماس‌های کاربر، لیست دفترچه تلفن، پیام‌های متنی ارسالی و دریافتی و … را جمع آوري و برای شخص دیگری ارسال می‌کنند.

خانواده بدافزاری TeleRAT چیست؟

یک جاسوس‌افزار است که نسخه آپدیت شده خانواده بدافزاری IRRAT می‌باشد. این بدافزار از ویژگی‌های API Bot Telegram استفاده کرده و با ایجاد یک بات تلگرامی به عنوان مرکز فرماندهی و کنترل (Command and Control یا C2) خود، اقدام به سرقت اطلاعاتی اعم از پیام کوتاه و سابقه تماس کاربران می‌کند.

توضیحات فنی

نام این برنامه “تلگرام بلاکچین” و از خانواده بدافزاری جاسوس افزارهاست که با نام “TeleRAT“ نامگذاری شده است. این برنامه با استفاده از API Bot Telegram (رابط‌های تعریف شده توسط تلگرام به منظور برقراری ارتباط بهتر با کاربران) با ساخت یک بات تلگرامی، از آن به عنوان مرکز فرماندهی و کنترل خود استفاده کرده و با ارسال و دریافت اطلاعات به گوشی کاربران، اقدامات خرابکارانه‌ای را انجام می‌دهد. اقداماتی همچون دزدی اطلاعات شخصی کاربر (اطلاعات تماس‌ها، ارسال و دریافت پیام کوتاه) ضبط مکالمات، گرفتن عکس، باز کردن صفحات مختلف در تلگرام و … که کاربران ایرانی را مورد هدف قرار داده است.

 API بات تلگرام روش‌هاي مختلفي برای تبادل اطلاعات دارد که شامل موارد زیر می‌شوند:

SendDocument: روشی براي ارسال فايل‌هایی در قالب‌ gif ،zip و pdf به ربات تلگرام

getUpdate: روشی براي به‌روز نگه داشتن ربات تلگرام (يا كانال تلگرام) می‌باشد و هر بار به منظور تبادل اطلاعات، آدرسي را براي ربات تلگرام تنظيم مي‌كند. در این برنامه با استفاده از روش SendDocument اقدام به ارسال اطلاعات به ربات تلگرامی خود می‌کند.

پس از اولین راه اندازی و اجرای برنامه، با کلیک کاربر روی دکمه موجود در صفحه، برنامه به طور خودکار بسته شده و آیکون خود را از دید کاربر مخفی می‌کند. طبق بررسی‌های انجام شده، برنامه به محض اجرا اقدام به برقراری ارتباط با ربات تلگرام آلوده خود می‌کند.

در فعالیت اصلی، ابتدا به ترتیب سه سرویس زیر برای تحقق اهداف مختلف صدا زده می‌شوند:

۱) سرویس teleser:

در این قسمت برنامه، لیست کاملی از دستورات ارسالی از طرف ربات تلگرام خود را تهیه می‌کند و دستورات اجرایی را به سرویس botrat ارجاع می‌دهد.

 

 

۲) سرویس botrat:

در این سرویس، یک فایل با نام “telerat2.txt” ایجاد می‌شود که این فایل شامل اطلاعات مفصلی در مورد دستگاه (اطلاعاتی نظیر اپراتور ثبت شده فعلی شبکه، نوع اتصال به شبکه، نوع دستگاه، حالت زنگ فعلی، تنظیمات سیستم، میزان حجم صدای دستگاه، حالت پرواز، شبکه رومینگ، حالت زنگ، میزان روشنایی صفحه، بازیابی سازنده و مدل و جزئیات دستگاه) است.

این بدافزار طبق دستورات دریافت شده از طرف ربات تلگرام خود اقدام به کارهای مخرب زیر کرده و سپس آنها را در قالب یک فایل txt با نامی تصادفی جمع‌آوری و به ربات تلگرام خود ارسال می‌کند:

۱. مخاطبین: جمع آوری لیستی از مخاطبین گوشی کاربر. این لیست شامل نام و شماره تلفن مخاطبین به همراه ساعت و تاریخ (شمسی) ایجاد و ذخیره آنها در گوشی کاربر می‌شود.

۲. برنامه‌های نصب شده: لیستی از برنامه‌های نصب شده (به همراه نام و اطلاعات کاملی از آنها) در گوشی را تهیه می‌کند.

۳. متن‌های کپی شده: از طریق روش ()getClipboadText در کتابخانه آماده ARIAlib لیستی از متن‌های کپی شده در گوشی به همراه تاریخ و ساعت کپی آنها را تهیه می‌کند (کتابخانه AriaLib: کتابخانه‌ای آماده‌ برای دسترسی آسان به متن‌های کپی شده در Clipboard است).

۴. موقعیت هدف: فعال سازی مکان یاب (GPS) و شروع مکان یابی.

۵. وضعیت شارژ باتری: بازیابی وضعیت شارژ باتری گوشی.

۶. All file list: به حافظه داخلی گوشی دسترسی پیدا کرده و لیستی از تمام فایل‌های موجود در آن را ایجاد می‌کند.

۷. Root file list: به حافظه خارجی (SD card) دسترسی پیدا کرده و لیستی از تمام فایل‌های موجود در آن را تهیه کرده و به ربات تلگرام خود ارسال می‌کند.

۸. 1Downloadfile: ‫دسترسی به حافظه خارجی (SD card) به منظور واکشی فایل‌های موجود در آن.

۹. 2Downloadfile:‫ درصورت دسترسی موفقیت‌آمیز به حافظه خارجی (SD card) و فایل‌های موجود در آن در قسمت 1Downloadfile، طبق مسیر، فایل را جهت آپلود و ارسال به ربات تلگرام خود آماده کرده (با استفاده از کتابخانه ABZipUnZip فایل را فشرده می‌کند) و در نهایت اقدام به ارسال آن به ربات تلگرام خود می‌کند. در صورتی که فایل مورد نظر موجود نباشد، پیغام “فایل با آدرس x موجود نمی‌باشد” را به ربات تلگرام می‌فرستد.

۱۰. CreateContact: افزودن مخاطب جدید (با مشخصاتی مانند نام، شماره تلفن، ایمیل، عکس و …).

۱۱. پیام‌های دریافتی: لیستی از تمام پیام‌های دریافتی که شامل نوع پیام، متن پیام، شماره و مشخصات آن است را ایجاد و در نهایت این فایل را به ربات تلگرام خود ارسال می‌کند.

۱۲. sendsmsfor: با تعیین شماره تلفن و متن پیام، اقدام به ارسال پیام کوتاه کرده و سپس اعلان تحویل را بررسی می‌کند که آیا به درستی تحویل داده شده است یا خیر؛ در صورت عدم ارسال درست، مجددا پیام را ارسال می‌کند.

۱۳. دوربین 1: گرفتن عکس از طریق دوربین جلو و سپس ارسال آن به ربات تلگرام خود.

۱۴. دوربین 2: گرفتن عکس از طریق دوربین اصلی و سپس ارسال آن به ربات تلگرام خود.

۱۵. دریافت وضعیت: بررسی وضعیت اتصال به اینترنت بر حسب ساعت و تاریخ شمسی.

۱۶. دریافت تماس‌ها: لیست تمام تماس‌های کاربر به همراه تاریخ، نوع، مدت، شماره، شناسه و نام آنها را واکشی می‌کند. در صورتی که این لیست شامل مقدار باشد، یک فایل با پسوند “txt.” با نام تصادفی در حافظه داخلی ایجاد کرده و این اطلاعات واکشی شده را به همراه نوع تماس (تماس ورودی، تماس خروجی، تماس بی‌پاسخ) در آن قرار داده و در نهایت این فایل را با عنوان “لیست گزارش تماس” به سمت ربات تلگرام خود ارسال می‌کند و در غیر این صورت با ارسال پیغام “گزارش تماسی وجود ندارد” به ربات تلگرام خود اعلام می‌کند که لیست تماس‌های کاربر خالی است.

۱۷. DeleteDir: دسترسی به فایل “Assets” و اقدام به حذف مقادیر موجود در آن و ارسال بازخورد یا پیغام متناسب به ربات تلگرام خود.

۱۸. بی‌صدا : اقدام به بی‌صدا کردن گوشی با استفاده از روش (SetRingerMode(1.

۱۹. صدای بلند: اقدام به بلند کردن صدای گوشی با استفاده از روش (SetRingerMode(2.

۲۰. بی‌صدا: اقدام به حفظ صدای فعلی گوشی با استفاده از روش (SetRingerMode(0.

۲۱. opentelegram: باز کردن صفحه‌ای در تلگرام.

۲۲. شروع ضبط: اقدام به ضبط صدا و ذخیره آن با نام “rec123.m4a” در حافظه خارجی.

۲۳. پایان ضبط: ارسال فایل صوتی ضبط شده (rec123.m4a) به ربات تلگرام خود و پایان دادن به ضبط.

۲۴. call to: تنظیم شماره تلفن و برقراری تماس.

۲۵. RESET: به هنگام نصب صحیح، نتیجه موقفیت‌آمیز بودن نصب را به همراه اطلاعاتی از گوشی کاربر به مهاجم اعلام می‌کند. بنابراین، در صورتی که اطلاعات ارسالی از گوشی کاربر تغییری کند، فایل “thisapk_slm.txt” را پاک کرده و مجددا اطلاعاتی از گوشی کاربر جمع آوری کرده و به سمت ربات تلگرام خود ارسال می‌کند.

۲۶. گالری هدف: دسترسی به فایل DCIM

ارسال عکس‌های دوربین دیجیتال موجود در این پوشه به سمت ربات تلگرام خود.

روش send_file که عملیات ارسال فایل به سمت ربات تلگرام برنامه را انجام می‌دهد. در این روش، شیوه ارسال، محتوای ارسالی، آدرس ربات تلگرام، تاریخ، ساعت، مدل دستگاه و شناسه دستگاه تنظیم شده و در نهایت محتوای ارسالی در ربات تلگرام  برنامه آپلود می‌شود.

 

 

همچنین در این روش از کتابخانه‌های زیر استفاده شده است:

• استفاده از کتابخانه آماده‌ای با نام PNUpload، به منظور آپلود بدون محدودیت فایل‌ها در ربات تلگرام
• استفاده از کتابخانه ABZipUnZip به منظور استخراج کردن از فایل‌های فشرده شده یا تولید یک فایل فشرده

۳) سرویس checkcall:

ابتدا با بررسی وضعیت تلفن در صورتی که تماسی برقرار نشده باشد، ضبط مکالمه را متوقف می‌کند و در غیر این صورت اگر کاربر در حال برقراری تماس یا در حال مکالمه باشد اقدام به ضبط مکالمات کاربر کرده و فایل ضبط شده را با نام “1234rec.m4a” در حافظه خارجی و مسیر “AUDIO/MUSIC/1234rec.m4a” ذخیره می‌کند.

 

 

فعالیت  getlastsms:

اقدام به ضبط صدا و ذخیره آن در حافظه خارجی می‌کند. هر ۵ ثانیه یک بار عکس گرفته و با پسوند “jpg.” و نامی تصادفی در حافظه داخلی ذخیره کرده و سپس آن را به ربات تلگرام خود ارسال می‌کند.

روش مقابله و پاک‌سازی سیستم

برای اطمینان خاطر از عدم آلودگی دستگاه، آنتی ویروس پادویش را نصب و فایل پایگاه داده آن را به‌روز نگه دارید و اسکن آنتی‌ویروس را انجام دهید.

روش‌های پیشگیری از آلوده شدن گوشی:

۱. از دانلود و نصب برنامه از منابع و مارکت‌های موبایلی نامعتبر خودداری کنید.

۲. هنگام نصب برنامه‌های موبایلی، به مجوزهای درخواستی دقت کنید.

۳. از فایل‌ها و اطلاعات ذخیره شده در گوشی پشتیبان‌گیری مداوم انجام دهید.

۴. از نسخه‌های غیررسمی برنامه‌ها استفاده نکنید. برنامه‌هایی مانند تلگرام و اینستاگرام نسخه‌های غیررسمی زیادی دارند و بیشتر آنها از طریق کانال‌های تلگرامی انتشار می‌یابند.