[[{"content_id":475098,"content_number":0,"portal_id":184,"lang_id":"fa","content_title":"بدافزار TeleRAT در تلگرام قربانی می‌گیرد","content_rtitr":"","content_short_title":null,"content_summary":"","content_summary_fill":0,"content_body":" به گزارش ایران هشدار - محققان امنیتی به تازگی درباره تروجان اندرویدی جدیدی هشدار داده‌اند که از واسط‌های برنامه‌نویسی بات تلگرام برای ارتباط با سرور دستور و کنترل و ارسال داده‌ها به این سرور بهره‌برداری می‌کند.\r\n\r\nاین بدافزار TeleRAT نام دارد و گویا ایران و کاربران ایرانی را هدف گرفته‌است. این بدافزار مشابه بدافزار IRRAT است که قبلا مشاهده شده‌بود و از واسط‌های برنامه‌نویسی بات تلگرام بهره‌برداری می‌کرد.\r\n\r\nبدافزار IRRAT هنوز هم به فعال است و خود را در قالب برنامه‌هایی که شماره‌ بازدیدکنندگان پروفایل تلگرام شما را نمایش می‌دهند، توزیع می‌کند. این برنامه پس از نصب، بدافزار را ایجاد کرده و فایل‌هایی را بر روی سیم‌کارت قربانی توزیع می‌کند که در ادامه می‌تواند اطلاعاتی را به سمت سرور دستور و کنترل ارسال کند.\r\n\r\nفایل‌هایی که به سمت سرور دستور و کنترل ارسال می‌شود حاوی فهرست مخاطبان، فهرستی از حساب‌های گوگل که بر روی دستگاه ثبت شده‌اند، تاریخچه‌ پیامک‌ها و تصاویر ثبت‌شده با دوربین جلو و عقب گوشی هستند. بدافزار مخرب گزارش‌های خود را به بات تلگرام تحویل داده و از منوی گوشی محو می‌شود و در پس‌زمینه اجرا شده و منتظر دستورات می‌ماند.\r\n\r\nاز طرف دیگر بدافزار TeleRAT دو فایل بر روی دستگاه قربانی ایجاد می‌کند. یکی از این فایل‌ها حاوی اطلاعات زیادی در مورد دستگاه قربانی است و در دیگری نیز فهرست کانال‌های تلگرام و دستورات متعدد ذخیره شده‌است. این بدافزار پس از نصب بر روی دستگاه قربانی با ارسال تاریخ و زمان به بات تلگرام از طریق واسط‌های برنامه‌نویسی تلگرام به مهاجم این مسئله را اطلاع می‌دهد.\r\n\r\nبدافزار در ادامه سرویسی را در پس‌زمینه راه‌اندازی می‌کند و به تغییراتی که در حافظه‌ دستگاه ایجاد می‌شود گوش می‌دهد. بدافزار هر ۴٫۶ ثانیه به‌روزرسانی‌ها را از بات تلگرام واکشی کرده و به دستورات گوش می‌دهد. بدافزار در ادامه براساس دستوراتی که دریافت می‌کند می‌توان فهرستی از مخاطبان ایجاد کند، فایل‌هایی را ایجاد کند، مخاطب‌های جدید اضافه کند، پیامک ارسال و دریافت کند، با شماره‌های مختلف تماس بگیرد، دستگاه را در حالت بی‌صدا یا صدادار قرار دهد، با دوربین گوشی عکس بگیرد یا عکس‌ها را از گالری دستگاه جمع‌آوری کند.\r\n\r\nاین بدافزار می‌تواند با استفاده از تابع sendDocument در واسط برنامه‌نویسی بات تلگرام، فایل‌هایی که از دستگاه قربانی جمع‌آوری کرده را به سمت سرور دستور و کنترل ارسال کند. این بدافزار تمامی ارتباطات خود را با استفاده از واسط برنامه‌نویسی بات تلگرام انجام داده و تشخیص‌های مبتنی بر شبکه را دور می‌زند. بدافزار با استفاده از این واسط‌های برنامه‌نویسی برای به‌روزرسانی از دو تابع getUpdates و یا Webhook استفاده می‌کند.\r\n\r\nگفته می‌شود شناسه‌ توسعه‌دهنده‌ این بدافزار در کد آن موجود است که محققان را به سمت کانال تلگرامی با نام vahidmail۶۷ هدایت می‌کند. در این کانال سرویس‌هایی مانند لایک و دنبال‌کننده‌ اینستاگرام، سرویس‌های باج‌افزاری و هرگونه تروجان ناشناخته ارائه می‌شود. محققان همچنین متوجه شدند در انجمن‌های برنامه‌نویسی ایرانی یک کتابخانه با قابلیت کنترل توسط بات تلگرام برای فروش تبلیغ می‌شده که نمونه‌هایی از این کد در بدافزار TeleRAT مشاهده شده‌است. هرچند این انجمن ادعا می‌کند طبق قوانین کشور ایران کار می‌کند، ولی چنین عملیات مخربی نیز در آن مشاهده می‌شود.\r\n\r\nبه دلیل اینکه در بدافزار TeleRAT از کدهای توسعه‌دهندگان مختلف و کدهای متن‌باز استفاده شده‌است، به راحتی نمی‌توان آن را به گروه خاصی نسبت داد. با این حال گفته می‌شود توسعه‌دهندگان این تروجان چند نفر هستند که داخل ایران فعالیت می‌کنند.\r\n\r\nاین بدافزار در بازارهای شخص ثالث برنامه‌های کاربردی در قالب برنامه‌های قانونی و غیرقانونی و همچنین کانال‌های تلگرامی توزیع می‌شود. تقریبا ۲۲۹۳ کاربر تاکنون به این بدافزار آلوده شده‌اند که نزدیک به ۸۲ درصد از شماره‌ها مربوط به ایران هستند.\r\n\r\n ","content_html":"
 به گزارش ایران هشدار -<\/strong> محققان امنیتی به تازگی درباره تروجان اندرویدی جدیدی هشدار داده‌اند که از واسط‌های برنامه‌نویسی بات تلگرام برای ارتباط با سرور دستور و کنترل و ارسال داده‌ها به این سرور بهره‌برداری می‌کند.<\/div>\n\n

این بدافزار TeleRAT<\/span> نام دارد و گویا ایران و کاربران ایرانی را هدف گرفته‌است. این بدافزار مشابه بدافزار IRRAT<\/span> است که قبلا مشاهده شده‌بود و از واسط‌های برنامه‌نویسی بات تلگرام بهره‌برداری می‌کرد.<\/p>\n\n

بدافزار IRRAT<\/span> هنوز هم به فعال است و خود را در قالب برنامه‌هایی که شماره‌ بازدیدکنندگان پروفایل تلگرام شما را نمایش می‌دهند، توزیع می‌کند. این برنامه پس از نصب، بدافزار را ایجاد کرده و فایل‌هایی را بر روی سیم‌کارت قربانی توزیع می‌کند که در ادامه می‌تواند اطلاعاتی را به سمت سرور دستور و کنترل ارسال کند.<\/p>\n\n

فایل‌هایی که به سمت سرور دستور و کنترل ارسال می‌شود حاوی فهرست مخاطبان، فهرستی از حساب‌های گوگل که بر روی دستگاه ثبت شده‌اند، تاریخچه‌ پیامک‌ها و تصاویر ثبت‌شده با دوربین جلو و عقب گوشی هستند. بدافزار مخرب گزارش‌های خود را به بات تلگرام تحویل داده و از منوی گوشی محو می‌شود و در پس‌زمینه اجرا شده و منتظر دستورات می‌ماند.<\/p>\n\n

از طرف دیگر بدافزار TeleRAT<\/span> دو فایل بر روی دستگاه قربانی ایجاد می‌کند. یکی از این فایل‌ها حاوی اطلاعات زیادی در مورد دستگاه قربانی است و در دیگری نیز فهرست کانال‌های تلگرام و دستورات متعدد ذخیره شده‌است. این بدافزار پس از نصب بر روی دستگاه قربانی با ارسال تاریخ و زمان به بات تلگرام از طریق واسط‌های برنامه‌نویسی تلگرام به مهاجم این مسئله را اطلاع می‌دهد.<\/p>\n\n

بدافزار در ادامه سرویسی را در پس‌زمینه راه‌اندازی می‌کند و به تغییراتی که در حافظه‌ دستگاه ایجاد می‌شود گوش می‌دهد. بدافزار هر ۴٫۶ ثانیه به‌روزرسانی‌ها را از بات تلگرام واکشی کرده و به دستورات گوش می‌دهد. بدافزار در ادامه براساس دستوراتی که دریافت می‌کند می‌توان فهرستی از مخاطبان ایجاد کند، فایل‌هایی را ایجاد کند، مخاطب‌های جدید اضافه کند، پیامک ارسال و دریافت کند، با شماره‌های مختلف تماس بگیرد، دستگاه را در حالت بی‌صدا یا صدادار قرار دهد، با دوربین گوشی عکس بگیرد یا عکس‌ها را از گالری دستگاه جمع‌آوری کند.<\/p>\n\n

این بدافزار می‌تواند با استفاده از تابع sendDocument<\/span> در واسط برنامه‌نویسی بات تلگرام، فایل‌هایی که از دستگاه قربانی جمع‌آوری کرده را به سمت سرور دستور و کنترل ارسال کند. این بدافزار تمامی ارتباطات خود را با استفاده از واسط برنامه‌نویسی بات تلگرام انجام داده و تشخیص‌های مبتنی بر شبکه را دور می‌زند. بدافزار با استفاده از این واسط‌های برنامه‌نویسی برای به‌روزرسانی از دو تابع getUpdates<\/span> و یا Webhook<\/span> استفاده می‌کند.<\/p>\n\n

گفته می‌شود شناسه‌ توسعه‌دهنده‌ این بدافزار در کد آن موجود است که محققان را به سمت کانال تلگرامی با نام vahidmail<\/span>۶۷ هدایت می‌کند. در این کانال سرویس‌هایی مانند لایک و دنبال‌کننده‌ اینستاگرام، سرویس‌های باج‌افزاری و هرگونه تروجان ناشناخته ارائه می‌شود. محققان همچنین متوجه شدند در انجمن‌های برنامه‌نویسی ایرانی یک کتابخانه با قابلیت کنترل توسط بات تلگرام برای فروش تبلیغ می‌شده که نمونه‌هایی از این کد در بدافزار TeleRAT<\/span> مشاهده شده‌است. هرچند این انجمن ادعا می‌کند طبق قوانین کشور ایران کار می‌کند، ولی چنین عملیات مخربی نیز در آن مشاهده می‌شود.<\/p>\n\n

به دلیل اینکه در بدافزار TeleRAT<\/span> از کدهای توسعه‌دهندگان مختلف و کدهای متن‌باز استفاده شده‌است، به راحتی نمی‌توان آن را به گروه خاصی نسبت داد. با این حال گفته می‌شود توسعه‌دهندگان این تروجان چند نفر هستند که داخل ایران فعالیت می‌کنند.<\/p>\n\n

این بدافزار در بازارهای شخص ثالث برنامه‌های کاربردی در قالب برنامه‌های قانونی و غیرقانونی و همچنین کانال‌های تلگرامی توزیع می‌شود. تقریبا ۲۲۹۳ کاربر تاکنون به این بدافزار آلوده شده‌اند که نزدیک به ۸۲ درصد از شماره‌ها مربوط به ایران هستند.<\/p>\n\n

 <\/p>","content_source":"","content_url":"","content_date_start":"2018-04-25 14:59:32","content_date_event":"2018-04-25 14:59:32","content_date_event_start":null,"content_date_event_end":null,"content_show_title_slider":1,"content_date_last_edit":"2018-04-25 15:00:34","content_date_register":"2018-04-25 15:00:34","content_columns":0,"content_show_img":1,"content_show_details":0,"content_show_related_img":0,"content_show_slider":1,"content_comment":1,"content_score":0,"tag_id":0,"score_average":null,"score_count":null,"score_date_last":null,"uid":15356,"eid":0,"attach_title":null,"attaches":[{"sizes":{"150":".\/cache\/184\/attach\/201804\/117916_1339590608_150_98.webp","300":".\/cache\/184\/attach\/201804\/117916_1339590608_300_196.webp","400":".\/cache\/184\/attach\/201804\/117916_1339590608_400_261.webp","600":".\/cache\/184\/attach\/201804\/117916_1339590608_600_391.webp","900":".\/cache\/184\/attach\/201804\/117916_1339590608_899_586.webp","1200":".\/cache\/184\/attach\/201804\/117916_1339590608_899_586.webp"},"ext":"jpg","file_media":1,"token":1339590608,"files":{"original":{"url":".\/file\/184\/attach\/201804\/117916_1339590608.jpg","width":899,"height":586,"size":0}}}]}]]