شرح کلی
نوع: جاسوس افزار (Spyware)
اسامی بدافزار:
Spy.Android.TeleRAT.Telg
درجه تخریب: متوسط
میزان شیوع: متوسط
جاسوس افزار (Spyware) چیست؟
اين گونه از بدافزارها براي اهداف جاسوسي و سرقت اطلاعات شخصي و سازماني مورد استفاده قرار ميگيرند. با نصب شدن spyware بر روي گوشی، هميشه اطلاعات کاربر از نظر امنيتي در معرض تهديد قرار دارد و در هر لحظه ممکن است این اطلاعات به سرقت رفته و به افراد غير مجاز تحويل داده شود. معمولا جاسوس افزارها به صورت پنهان و به دور از ديد کاربر بر روي گوشی نصب ميشوند و به صورت کاملا مخفيانه فعاليتهاي خود را انجام ميدهند. جاسوس افزارها معمولا با فريب دادن کاربران در اينترنت در قالب یک برنامه کاربردی و مفید بر روي گوشی آنها نصب ميشوند. به طور معمول این نوع از بدافزارها اطلاعاتي در خصوص فعاليتهاي يک کاربر بر روي گوشی اعم از پسوردها، اطلاعات کارتهاي اعتباري و ساير اطلاعات امنیتی از قبيل کليدهاي فشرده شده توسط کاربر، لیست تماسهای کاربر، لیست دفترچه تلفن، پیامهای متنی ارسالی و دریافتی و … را جمع آوري و برای شخص دیگری ارسال میکنند.
خانواده بدافزاری TeleRAT چیست؟
این بدافزار با سوءاستفاده از API Bot Telegram (رابطهای تعریف شده توسط تلگرام به منظور برقراری ارتباط بهتر با کاربران) یک بات برای تحقق اهداف خود ایجاد و از آن به عنوان مرکز فرماندهی و کنترل (Command and Control) پیام استفاده میکند. به واسطه دستورات ارسالی از سمت بات، بدافزار اقدام به دزدی اطلاعات شخصی کاربر مانند اطلاعات تماسها، ارسال و دریافت اس ام اس، اطلاعات کاملی از گوشی و همچنین اقدامات دیگری نظیر ضبط مکالمات، گرفتن عکس، باز کردن صفحات مختلف در تلگرام و … کرده و کاربران ایرانی را مورد هدف قرار داده است.
توضیحات فنی
نام این برنامه “بازدید یاب تلگرام” و از خانواده بدافزاری جاسوس افزارهاست که به نام “TeleRAT“ نامگذاری شده است. پس از اولین راهاندازی و اجرای برنامه توسط کاربر، صفحه زیر باز میشود که طی آن با کلیک کاربر بر روی دکمه “چک کردن” برنامه به طور خودکار بسته شده و آیکون خود را از دید کاربر مخفی میکند .
طبق بررسیهای انجام شده، این برنامه به محض نصب و اجرا، اقدام به برقراری ارتباط با ربات تلگرام (“https://api.telegram.org/bot”) خود میکند که روال برقراری این ارتباط به صورت زیر است:
1. ارسال فایلی با نام “thisapk_slm.txt“ به ربات تلگرام خود که توسط این فایل تاریخ، ساعت و نصب موفقیت آمیز خود را به مهاجمان اعلام میکند .
2. ارسال فایلی با نام “telerat2.txt“ به ربات تلگرام خود که توسط این فایل اطلاعات مفصلی در مورد دستگاه از جمله اطلاعاتی نظیر اپراتور ثبت شده فعلی شبکه، نوع اتصال به شبکه، نوع دستگاه، حالت زنگ فعلی، تنظیمات سیستم، میزان حجم صدای دستگاه، حالت پرواز، شبکه رومینگ، حالت زنگ، میزان روشنایی صفحه، بازیابی سازنده و مدل و جزئیات دستگاه را برای مهاجمان ارسال میکند.
3. از طریق سرور فرماندهی و کنترل با ربات تلگرام خود ارتباط برقرار کرده و دستورات لازم را از آن دریافت و یا فایلهای جمعآوری شده را به آن ارسال میکند.
در فعالیت اصلی برنامه ۳ سرویس به ترتیب با اهداف مختلف اجرا میشوند: سرویس teleser، سرویس botrat و در ادامه آن هم سرویس checkcall صدا زده و اجرا میشوند.
1) در سرویس teleser عملیات زیر انجام میشود:
در این قسمت لیست کاملی از دستورات ارسالی از طرف ربات تلگرام خود را تهیه کرده و سپس این لیست را به سرویس botrat ارسال میکند .
2) در سرویس botrat عملیات زیر انجام میشود:
همانطور که گفته شد، این بدافزار طبق دستورات دریافت شده از طرف ربات تلگرام خود، اقدامات مخرب زیر را انجام میدهد:
1. مخاطبین: جمع آوری لیستی از مخاطبین ذخیره شده در گوشی کاربر که این لیست شامل نام و شماره تلفن مخاطبین به همراه ساعت و تاریخ شمسی است. سپس این لیست را در یک فایل با پسوند “txt.” که نام این فایل به صورت تصادفی انتخاب شده است ذخیره و در نهایت این فایل را به ربات تلگرام خود ارسال میکند.
2. برنامههای نصب شده: لیستی از برنامههای نصب شده به همراه نام و اطلاعات کاملی از آنها را جمع آوری کرده و در یک فایل با پسوند “txt.” که نام این فایل نیز به صورت تصادفی انتخاب شده است ذخیره و در نهایت این فایل را به ربات تلگرام خود ارسال میکند.
3. متنهای کپی شده: از طریق متد ()getClipboardText در کتابخانه آماده ARIAlib لیستی از متنهای کپی شده در گوشی به همراه تاریخ و ساعت کپی آن را در یک فایل با پسوند “txt.” که نام این فایل به صورت تصادفی انتخاب شده است ذخیره و در نهایت این فایل را به ربات تلگرام خود ارسال میکند (کتابخانه AriaLib کتابخانهای آماده به منظور دسترسی آسان به متنهای کپی شده در Clipboard است).
4. موقعیت تارگت: فعال سازی GPS و شروع مکانیابی جغرافیایی کاربر.
5. وضعیت شارژ باتری: بازیابی وضعیت شارژ باتری گوشی کاربر.
6. All file list: با استفاده از متد ()getDirInternal به حافظه داخلی گوشی دسترسی پیدا کرده و لیستی از تمام فایلهای موجود در آن را تهیه و در یک فایل با پسوند “txt.” که نام این فایل به صورت تصادفی انتخاب شده است ذخیره و در نهایت این فایل را به ربات تلگرام خود ارسال میکند.
7. Root file list: با استفاده از متد ()getDirRootExternal به کارت حافظه SD دسترسی پیدا کرده و لیستی از تمام فایلهای موجود در آن را ایجاد و در یک فایل با پسوند “txt.” که نام این فایل به صورت تصادفی انتخاب شده است ذخیره و در نهایت این فایل را به ربات تلگرام خود ارسال میکند.
8. 1Downloadfile: دسترسی به حافظه خارجی (SD card) به منظور واکشی فایلهای موجود در آن
9. 2Downloadfile: درصورت دسترسی موفقیتآمیز به حافظه خارجی (SD card) و فایلهای موجود در آن در قسمت 1Downloadfile، طبق مسیر، فایل را جهت آپلود و ارسال به ربات تلگرام خود آماده کرده (با استفاده از کتابخانه ABZipUnZip فایل را فشرده میکند) و در نهایت اقدام به ارسال آن به ربات تلگرام خود میکند. در صورتی که فایل مورد نظر موجود نباشد، پیغام “فایل با آدرس x موجود نمیباشد” را به ربات تلگرام میفرستد.
10. CreateContact: افزودن مخاطب جدید با مشخصاتی مانند نام، شماره تلفن، ایمیل، عکس و …
11. پیامهای دریافتی: لیستی از تمام پیامهای دریافتی که شامل نوع پیام، متن پیام، شماره و مشخصات آن را ایجاد و در نهایت این فایل را به ربات تلگرام خود ارسال میکند.
12. sendsmsfor: با تعیین شماره تلفن و متن پیام، اقدام به ارسال اس ام اس کرده و سپس اعلان تحویل را بررسی میکند که آیا به درستی تحویل داده شده است یا خیر و در صورت عدم ارسال درست، مجددا اقدام به ارسال پیام میکند.
13. دوربین 1: گرفتن عکس از طریق دوربین جلو و سپس ارسال آن به ربات تلگرام خود.
14. دوربین 2: گرفتن عکس از طریق دوربین اصلی (پشت) و سپس ارسال آن به ربات تلگرام خود.
15. دریافت وضعیت: بررسی وضعیت اتصال به اینترنت بر حسب ساعت و تاریخ شمسی.
16. دریافت تماسها: لیست تمام تماسهای کاربر به همراه تاریخ، نوع، مدت، شماره و نام آنها را واکشی میکند؛ در صورتی که این لیست شامل محتوا باشد یک فایل با پسوند “txt.” با نام تصادفی در حافظه داخلی ایجاد کرده و این اطلاعات واکشی شده را به همراه نوع تماس (تماس ورودی، تماس خروجی و یا تماس بی پاسخ) در آن قرار داده و در نهایت این فایل را با عنوان “لیست گزارش تماس” به سمت ربات تلگرام خود ارسال میکند. در غیر این صورت با ارسال پیغام “گزارش تماسی وجود ندارد” به ربات تلگرام خود اعلام میکند که لیست تماسهای کاربر خالی است.
17. DeleteDir: دسترسی به فایل “Assets” و اقدام به حذف مقادیر موجود در آن و ارسال بازخورد یا پیغام متناسب به ربات تلگرام خود.
18. بیصدا: اقدام به بیصدا کردن گوشی.
19. صدای بلند: اقدام به بلند کردن صدای گوشی.
20. باصدا: اقدام به حفظ صدای فعلی گوشی.
21. opentelegram: باز کردن صفحهای در تلگرام (“http://telegram.me/”)
22. شروع ضبط: اقدام به ضبط Audio و ذخیره آن با نام “rec123.m4a” در کارت حافظه SD
23. پایان ضبط: ارسال فایل ضبط شده به ربات تلگرام خود و پایان دادن به ضبط صدا
24. call to: تنظیم شماره تلفن و برقراری تماس
25. RESET: این بخش به بررسی اطلاعات اساسی گوشی کاربر میپردازد و در صورت تغییر در اطلاعات گوشی و یا نصب این برنامه توسط گوشی جدید، مجددا اطلاعات مفصلی از گوشی کاربر مانند مدل کامل دستگاه، شرکت سازنده، نسخه اندروید، نوع نمایشگر، تعداد هستههای دستگاه و فضای خالی و پر حافظه داخلی و خارجی را جمعآوری و نتیجه را به سمت ربات تلگرام خود ارسال میکند.
25. گالری هدف: دسترسی به فایل DCIM گوشی و ارسال آن به سمت ربات تلگرام
متد _send_file عملیات ارسال فایل به سمت ربات تلگرام برنامه را انجام میدهد. دراین متد روش ارسال، محتوای ارسالی، آدرس ربات تلگرام، تاریخ، ساعت، مدل دستگاه و آیدی دستگاه تنظیم شده و در نهایت فایل ارسالی در ربات تلگرام برنامه آپلود میشود.
همچنین در این متد از کتابخانههای زیر استفاده شده است:
1. استفاده از کتابخانه آمادهای به نام PNUpload به منظور آپلود بدون محدودیت فایلها در ربات تلگرام خود
2. استفاده از کتابخانه ABZipUnZip به منظور استخراج کردن از فایلهای فشرده شده یا تولید یک فایل فشرده
3) در سرویس checkcall عملیات زیر انجام میشود :
با بررسی وضعیت تلفن، در صورتی که کاربر در حال برقراری تماس یا در حال انجام مکالمه باشد، اقدام به ضبط مکالمات کاربر کرده و فایل ضبط شده را به نام “1234rec.m4a” در کارت حافظه SD و مسیر “AUDIO/MUSIC/1234rec.m4a” ذخیره میکند:
روش مقابله و پاکسازی سیستم
برای اطمینان خاطر از عدم آلودگی دستگاه، آنتی ویروس پادویش را نصب و فایل پایگاه داده آن را بهروز نگه دارید و اسکن آنتی ویروس را انجام دهید.
روشهای پیشگیری از آلوده شدن گوشی:
۱. از دانلود و نصب برنامه از منابع و مارکتهای موبایلی نامعتبر خودداری کنید.
۲. هنگام نصب برنامههای موبایلی، به مجوزهای درخواستی دقت کنید.
۳. از فایلها و اطلاعات ذخیره شده در گوشی پشتیبانگیری مداوم انجام دهید.
۴. از نسخههای غیررسمی برنامهها استفاده نکنید. برنامههایی مانند تلگرام و اینستاگرام نسخههای غیررسمی زیادی دارند و بیشتر آنها از طریق کانالهای تلگرامی انتشار مییابند.