Spy.Android.TeleRAT.Telg

شرح کلی

نوع: جاسوس افزار (Spyware)
اسامی بدافزار:
Spy.Android.TeleRAT.Telg
درجه تخریب: متوسط
میزان شیوع: متوسط

جاسوس افزار (Spyware) چیست؟

اين گونه از بدافزارها براي اهداف جاسوسي و سرقت اطلاعات شخصي و سازماني مورد استفاده قرار مي‌گيرند. با نصب شدن spyware بر روي گوشی، هميشه اطلاعات کاربر از نظر امنيتي در معرض تهديد قرار دارد و در هر لحظه ممکن است این اطلاعات به سرقت رفته و به افراد غير مجاز تحويل داده شود. معمولا جاسوس افزارها به صورت پنهان و به دور از ديد کاربر بر روي گوشی نصب مي‌شوند و به‌ صورت کاملا مخفيانه فعاليت‌هاي خود را انجام مي‌دهند. ‫جاسوس افزارها معمولا با فريب دادن کاربران در اينترنت در قالب یک برنامه کاربردی و مفید بر روي گوشی آنها نصب مي‌شوند. به طور معمول این نوع از بدافزارها اطلاعاتي در خصوص فعاليت‌هاي يک کاربر بر روي گوشی اعم از پسوردها، اطلاعات کارت‌هاي اعتباري و ساير اطلاعات امنیتی از قبيل کليدهاي فشرده شده توسط کاربر، لیست تماس‌های کاربر، لیست دفترچه تلفن، پیام‌های متنی ارسالی و دریافتی و … را جمع آوري و برای شخص دیگری ارسال می‌کنند.

خانواده بدافزاری TeleRAT چیست؟

این بدافزار با سوءاستفاده از API Bot Telegram (رابط‌های تعریف شده توسط تلگرام به منظور برقراری ارتباط بهتر با کاربران) یک بات برای تحقق اهداف خود ایجاد و از آن به عنوان مرکز فرماندهی و کنترل (Command and Control) پیام استفاده می‌کند. به واسطه دستورات ارسالی از سمت بات، بدافزار اقدام به دزدی اطلاعات شخصی کاربر مانند اطلاعات تماس‌ها، ارسال و دریافت اس ام اس، اطلاعات کاملی از گوشی و همچنین اقدامات دیگری نظیر ضبط مکالمات، گرفتن عکس، باز کردن صفحات مختلف در تلگرام و … کرده و کاربران ایرانی را مورد هدف قرار داده است.

توضیحات فنی

نام این برنامه “بازدید یاب تلگرام” و از خانواده بدافزاری جاسوس‌ افزارهاست که به نام TeleRAT نام‌گذاری شده است. پس از اولین راه‌اندازی و اجرای برنامه توسط کاربر، صفحه زیر باز می‌شود که طی آن با کلیک کاربر بر روی دکمه “چک کردن” برنامه به طور خودکار بسته شده و آیکون خود را از دید کاربر مخفی می‌کند .

 

طبق بررسی‌های انجام شده، این برنامه به محض نصب و اجرا، اقدام به برقراری ارتباط با ربات تلگرام (“https://api.telegram.org/bot”) خود می‌کند که روال برقراری این ارتباط به صورت زیر است:

 

 

1. ارسال فایلی با نام thisapk_slm.txt به ربات تلگرام خود که توسط این فایل تاریخ، ساعت و نصب موفقیت آمیز خود را به مهاجمان اعلام می‌کند .

2.ارسال فایلی با نام telerat2.txt به ربات تلگرام خود که توسط این فایل اطلاعات مفصلی در مورد دستگاه از جمله اطلاعاتی نظیر اپراتور ثبت شده فعلی شبکه، نوع اتصال به شبکه، نوع دستگاه، حالت زنگ فعلی، تنظیمات سیستم، میزان حجم صدای دستگاه، حالت پرواز، شبکه رومینگ، حالت زنگ، میزان روشنایی صفحه، بازیابی سازنده و مدل و جزئیات دستگاه را برای مهاجمان ارسال می‌کند.

3.از طریق سرور فرماندهی و کنترل با ربات تلگرام خود ارتباط برقرار کرده و دستورات لازم را از آن دریافت و یا فایل‌های جمع‌آوری شده را به آن ارسال می‌کند.

در فعالیت اصلی برنامه ۳ سرویس به ترتیب با اهداف مختلف اجرا می‌شوند: سرویس teleser، سرویس botrat و در ادامه آن هم سرویس checkcall صدا زده و اجرا می‌شوند.

1) در سرویس teleser عملیات زیر انجام می‌شود:

در این قسمت لیست کاملی از دستورات ارسالی از طرف ربات تلگرام خود را تهیه کرده و سپس این لیست را به سرویس botrat ارسال می‌کند .

 

2) در سرویس botrat عملیات زیر انجام می‌شود:

همانطور که گفته شد، این بدافزار طبق دستورات دریافت شده از طرف ربات تلگرام خود، اقدامات مخرب زیر را انجام می‌دهد:

1. مخاطبین: جمع آوری لیستی از مخاطبین ذخیره شده در گوشی کاربر که این لیست شامل نام و شماره تلفن مخاطبین به همراه ساعت و تاریخ شمسی است. سپس این لیست را در یک فایل با پسوند “txt.” که نام این فایل به صورت تصادفی انتخاب شده است ذخیره و در نهایت این فایل را به ربات تلگرام خود ارسال می‌کند.

2. برنامه‌های نصب شده: لیستی از برنامه‌های نصب شده به همراه نام و اطلاعات کاملی از آنها را جمع آوری کرده و در یک فایل با پسوند “txt.” که نام این فایل نیز به صورت تصادفی انتخاب شده است ذخیره و در نهایت این فایل را به ربات تلگرام خود ارسال می‌کند.

3. متن‌های کپی شده: از طریق متد ()getClipboardText در کتابخانه آماده ARIAlib لیستی از متن‌های کپی شده در گوشی به همراه تاریخ و ساعت کپی آن را در یک فایل با پسوند “txt.” که نام این فایل به صورت تصادفی انتخاب شده است ذخیره و در نهایت این فایل را به ربات تلگرام خود ارسال می‌کند (کتابخانه AriaLib کتابخانه‌ای آماده به منظور دسترسی آسان به متن‌های کپی شده در Clipboard است).

4. موقعیت تارگت: فعال سازی GPS و شروع مکان‌یابی جغرافیایی کاربر.

5. وضعیت شارژ باتری: بازیابی وضعیت شارژ باتری گوشی کاربر.

6. All file list: با استفاده از متد ()getDirInternal به حافظه داخلی گوشی دسترسی پیدا کرده و لیستی از تمام فایل‌های موجود در آن را تهیه و در یک فایل با پسوند “txt.” که نام این فایل به صورت تصادفی انتخاب شده است ذخیره و در نهایت این فایل را به ربات تلگرام خود ارسال می‌کند.

7. Root file list: با استفاده از متد ()getDirRootExternal به کارت حافظه SD دسترسی پیدا کرده و لیستی از تمام فایل‌های موجود در آن را ایجاد و در یک فایل با پسوند “txt.” که نام این فایل به صورت تصادفی انتخاب شده است ذخیره و در نهایت این فایل را به ربات تلگرام خود ارسال می‌کند.

8. 1Downloadfile: ‫دسترسی به حافظه خارجی (SD card) به منظور واکشی فایل‌های موجود در آن

9. 2Downloadfile‫درصورت دسترسی موفقیت‌آمیز به حافظه خارجی (SD card) و فایل‌های موجود در آن در قسمت 1Downloadfile، طبق مسیر، فایل را جهت آپلود و ارسال به ربات تلگرام خود آماده کرده (با استفاده از کتابخانه ABZipUnZip فایل را فشرده می‌کند) و در نهایت اقدام به ارسال آن به ربات تلگرام خود می‌کند. در صورتی که فایل مورد نظر موجود نباشد، پیغام “فایل با آدرس x موجود نمی‌باشد” را به ربات تلگرام می‌فرستد.

10. CreateContact: افزودن مخاطب جدید با مشخصاتی مانند نام، شماره تلفن، ایمیل، عکس و …

11. پیام‌های دریافتی: لیستی از تمام پیام‌های دریافتی که شامل نوع پیام، متن پیام، شماره و مشخصات آن را ایجاد و در نهایت این فایل را به ربات تلگرام خود ارسال می‌کند.

12. sendsmsfor: با تعیین شماره تلفن و متن پیام، اقدام به ارسال اس ام اس کرده و سپس اعلان تحویل را بررسی می‌کند که آیا به درستی تحویل داده شده است یا خیر و در صورت عدم ارسال درست، مجددا اقدام به ارسال پیام می‌کند.

13. دوربین 1: گرفتن عکس از طریق دوربین جلو و سپس ارسال آن به ربات تلگرام خود.

14. دوربین 2: گرفتن عکس از طریق دوربین اصلی (پشت) و سپس ارسال آن به ربات تلگرام خود.

15. دریافت وضعیت: بررسی وضعیت اتصال به اینترنت بر حسب ساعت و تاریخ شمسی.

16. دریافت تماس‌ها: لیست تمام تماس‌های کاربر به همراه تاریخ، نوع، مدت، شماره و نام آنها را واکشی می‌کند؛ در صورتی که این لیست شامل محتوا باشد یک فایل با پسوند “txt.” با نام تصادفی در حافظه داخلی ایجاد کرده و این اطلاعات واکشی شده را به همراه نوع تماس (تماس ورودی، تماس خروجی و یا تماس بی پاسخ) در آن قرار داده و در نهایت این فایل را با عنوان “لیست گزارش تماس” به سمت ربات تلگرام خود ارسال می‌کند. در غیر این صورت با ارسال پیغام “گزارش تماسی وجود ندارد” به ربات تلگرام خود اعلام می‌کند که لیست تماس‌های کاربر خالی است.

17. DeleteDir: دسترسی به فایل “Assets” و اقدام به حذف مقادیر موجود در آن و ارسال بازخورد یا پیغام متناسب به ربات تلگرام خود.

18. بی‌صدا: اقدام به بی‌صدا کردن گوشی.

19. صدای بلند: اقدام به بلند کردن صدای گوشی.

20. با‌صدا: اقدام به حفظ صدای فعلی گوشی.

21. opentelegram: باز کردن صفحه‌ای در تلگرام (“http://telegram.me/”)

22. شروع ضبط: اقدام به ضبط Audio و ذخیره آن با نام “rec123.m4a” در کارت حافظه SD

23. پایان ضبط: ارسال فایل ضبط شده به ربات تلگرام خود و پایان دادن به ضبط صدا

24. call to: تنظیم شماره تلفن و برقراری تماس

25. RESET: این بخش به بررسی اطلاعات اساسی گوشی کاربر می‌پردازد و در صورت تغییر در اطلاعات گوشی و یا نصب این برنامه توسط گوشی جدید، مجددا اطلاعات مفصلی از گوشی کاربر مانند مدل کامل دستگاه، شرکت سازنده، نسخه اندروید، نوع نمایشگر، تعداد هسته‌های دستگاه و فضای خالی و پر حافظه داخلی و خارجی را جمع‌آوری و نتیجه را به سمت ربات تلگرام خود ارسال می‌کند.

25. گالری هدف: دسترسی به فایل DCIM گوشی و ارسال آن به سمت ربات تلگرام

متد _send_file عملیات ارسال فایل به سمت ربات تلگرام برنامه را انجام می‌دهد. دراین متد روش ارسال، محتوای ارسالی، آدرس ربات تلگرام، تاریخ، ساعت، مدل دستگاه و آیدی دستگاه تنظیم شده و در نهایت فایل ارسالی در ربات تلگرام برنامه آپلود می‌شود.

همچنین در این متد از کتابخانه‌های زیر استفاده شده است:

1. استفاده از کتابخانه آماده‌ای به نام PNUpload به منظور آپلود بدون محدودیت فایل‌ها در ربات تلگرام خود

2. استفاده از کتابخانه ABZipUnZip به منظور استخراج کردن از فایل‌های فشرده شده یا تولید یک فایل فشرده

3) در سرویس checkcall عملیات زیر انجام می‌شود :

با بررسی وضعیت تلفن، در صورتی که کاربر در حال برقراری تماس یا در حال انجام مکالمه باشد، اقدام به ضبط مکالمات کاربر کرده و فایل ضبط شده را به نام “1234rec.m4a” در کارت حافظه SD و مسیر “AUDIO/MUSIC/1234rec.m4a” ذخیره می‌کند:

روش مقابله و پاک‌سازی سیستم

برای اطمینان خاطر از عدم آلودگی دستگاه، آنتی ویروس پادویش را نصب و فایل پایگاه داده آن را به‌روز نگه دارید و اسکن آنتی ویروس را انجام دهید.

روش‌های پیشگیری از آلوده شدن گوشی:

۱. از دانلود و نصب برنامه از منابع و مارکت‌های موبایلی نامعتبر خودداری کنید.

۲. هنگام نصب برنامه‌های موبایلی، به مجوزهای درخواستی دقت کنید.

۳. از فایل‌ها و اطلاعات ذخیره شده در گوشی پشتیبان‌گیری مداوم انجام دهید.

۴. از نسخه‌های غیررسمی برنامه‌ها استفاده نکنید. برنامه‌هایی مانند تلگرام و اینستاگرام نسخه‌های غیررسمی زیادی دارند و بیشتر آنها از طریق کانال‌های تلگرامی انتشار می‌یابند.