HeroRat؛ تروجان کنترل از راه دور جدید اندرویدی مبتنی بر تلگرام

تلگرام به خاطر امنیت کافی و امکانات زیادی که در اختیار توسعه‌دهندگان قرار می‌دهد، مورد توجه توسعه‌دهندگان و درنتیجه هکرها نیز هست. اکنون کارشناسان شرکت ESETپرده از سومین تروجان کنترل از راه دور اندرویدی برداشته‌اند که با استفاده از یک ربات تلگرامی کنترل می‌شود. این تروجان تحت نام برنامه‌هایی فریبنده روی دستگاه کاربر نصب شده و کنترل کامل دستگاه را به دست هکرها می‌سپارد.

محققان شرکت امنیتی ESETیک خانواده جدید از تروجان‌های کنترل از راه دور (RAT) اندروید را کشف نموده‌اند که از پروتکل تلگرام برای کنترل و فرمان و استخراج داده سوء استفاده می‌نماید.

در ابتدا کارشناسان بر این باور بوده‌اند که فعالیت‌های جدیدی که مشاهده نموده‌اند نتیجه فعالیت دو تروجان کنترل از راه دور IRRATو TeleRATاست که قبلاً شناسایی شده بوده‌اند. این دو تروجان نیز از پروتکل تلگرام استفاده می‌نمایند. اما پس از بررسی‌های دقیق‌تر، کارشناسان به این نتیجه رسیدند که با یک خانواده جدید بدافزار روبرو هستند که لااقل از آگوست سال 2017 در حال فعالیت است. در ماه مارس 2018 کد منبع این بدافزار توسط کانال‌های تلگرامی هکرها منتشر شد و در نتیجه هزاران نسخه از این بدافزار اکنون به صورت موازی در حال فعالیت است.

در این گزارش، یکی از این توزیع‌ها که با بقیه متفاوت است مورد بررسی قرار گرفته است. جدای از اینکه کد منبع این توزیع به صورت رایگان وجود دارد، روی کانال‌های تلگرامی به صورت فروشی تحت عنوان HeroRatقرار دارد. این بدافزار با سه طرح و قیمت مختلف به همراه ویدیو‌های راهنما ارایه می‌شود. معلوم نیست که کدامیک از این نسخه‌ها از کدی که منتشر شده ساخته شده و یا اگر این نسخه اصلی بدافزار است کد کدامیک از نسخه‌ها منتشر شده است.

مهاجمین با استفاده از نام برنامه‌های مختلف کاربران را ترغیب می‌نمایند که این بدافزار را نصب نمایند (برنامه‌هایی که معمولاً از طریق شبکه‌های اجتماعی و یا بازار‌های ناامن در اختیار کاربران قرار می‌گیرد). این بدافزار در ایران به صورت برنامه‌هایی برای استخراج بیت‌کوین، اتصال رایگان اینترنت و اضافه کردن فالوور در شبکه‌های اجتماعی دیده شده است. هیچ‌کدام از این بدافزار‌ها در گوگل‌پلی مشاهده نشده‌اند.

این بدافزار روی همه نسخه‌های اندروید اجرا می‌شود. اما بدافزار برای اجرای درست نیاز به اجازه‌هایی دارد که از کاربر می‌گیرد. در این مرحله معمولاً با ترفند‌های مهندسی اجتماعی این اجازه‌ها از کاربر گرفته می‌شود.

پس از نصب بدافزار و اجرای آن روی دستگاه قربانی، یک پیام به نمایش در آمده و اعلام می‌کند که این برنامه امکان اجرا روی دستگاه را نداشته و بنابراین حذف خواهد شد. در نسخه‌های بررسی شده یک پیام به زبان فارسی یا انگلیسی، بسته به زبان پیش‌فرض دستگاه، به کاربر نشان داده می‌شود.

پس از اینکه به نظر می‌رسد فرایند حذف برنامه تمام شده است، آیکون برنامه هم حذف می‌شود؛ اما مهاجم همچنان کنترل کامل روی دستگاه قربانی دارد.

با ایجاد دسترسی روی دستگاه قربانی، مهاجم با استفاده از بات تلگرام، می‌تواند کنترل دستگاه را به دست گیرد. هر دستگاه تسخیر شده توسط یک بات کنترل می‌شود که توسط مهاجم روی برنامه تلگرام ایجاد می‌شود.

بدافزار قابلیت‌های جاسوسی و استخراج داده زیاد و قدرت‌مندی دارد. سرقت لیست پیام‌ها و مخاطبین، ارسال و دریافت تماس و پیام کوتاه، ضبط صدا و تصویر صفحه نمایش، پیدا کردن محل تلفن همراه و کنترل تنظیمات دستگاه از قابلیت‌های این بدافزار است.

قابلیت‌های بدافزار HeroRatدر سه سطح دسته‌بندی شده و برای فروش ارایه شده است. سطح برنزی، نقره‌ای و طلایی این بدافزار به ترتیب 25، 50 و 100 دلار قیمت دارند. همچنین کد منبع این بدافزار با قیمت 650 دلار به فروش می‌رسد.

قابلیت‌های بدافزار به صورت دکمه‌هایی در بات تلگرام قابل دسترسی هستند. مهاجم می‌تواند به سادگی و با استفاده از این دکمه‌ها، دستگاه قربانی را کنترل کند.

بر خلاف تروجان‌های قبلی که از پروتکل تلگرام سو استفاده می‌نمودند و با جاوا توسعه یافته بودند، این بدافزار با زبان C#و فریم‌ورک Xamarinکه یک ابزار کم کاربرد برای توسعه برنامه‌های اندرویدی است توسعه یافته است.

نحوه استفاده بدافزار از پروتکل تلگرام با زبان توسعه بدافزار وفق داده شده و این بدافزار از کتابخانه Telesharpبرای ایجاد بات در زبان C#استفاده می‌نماید. همچنین علاوه بر ارتباط برای دستور به بدافزار، برای استخراج اطلاعات نیز از پروتکل تلگرام استفاده می‌شود.

با توجه به اینکه کد منبع این بدافزار به صورت رایگان در دسترس قرار دارد، امکان دارد با نام‌های مختلفی توزیع شده و دستگاه‌های زیادی را آلوده نماید. این تنوع کار را برای تشخیص بدافزار سخت می‌کند.

برای جلوگیری از آلودگی توسط این بدافزار و بدافزار‌های مشابه، توصیه می‌شود تا هیچ گاه برنامه‌ای از منبعی غیر از بازار‌های رسمی برنامه‌های اندرویدی و ترجیحاً گوگل پلی نصب نشود. همچنین بایستی از نصب برنامه‌هایی با نام شرکت سازنده ناشناس خودداری نمود. در زمان نصب برنامه نیز باید به اجازه‌هایی که برنامه از کاربر می‌گیرد دقت نمود.