Oprogramowanie szpiegujące skierowane do irańskich użytkowników systemu Android poprzez nadużywanie komunikatorów App Telegram's Bot API
Podczas gdy oprogramowanie szp iegujące za pomocą Telegram Bot API jest ograniczone, jest to pierwszy Android Trojan sterowany za pomocą protokołu wymiany wiadomości Telegram. Avast prowadzi dochodzenie.
Oprogramowanie szpiegujące aplikacje komunikujące się za pośrednictwem interfejsu API Bota Telegram ostatnio ukierunkowane na irańskich użytkowników systemu Android, przesyłając obszerne dane osobowe użytkowników na zdalnym serwerze w Iranie.
Podczas gdy istnieją nieco inne wersje aplikacji szpiegującej - jedna obiecuje powiedzieć, ile osób oglądało profil Telegram, inne maskują jako aplikację Cleaner Pro lub Profile Checker - wszystkie one oferują te same funkcje i szpiegują na urządzeniu z systemem Android. A ponieważ cyberprzestępcy nie muszą tworzyć własną komunikację lub ustawić szyfrowanie, aby uruchomić oszustwo (po prostu ustawić bot Telegram!), jest bardziej prawdopodobne, że będzie używany przez więcej złych aktorów jako gotowe "rozwiązanie", nawet jeśli tylko w krótkim czasie.
Jak działa oprogramowanie szpiegujące API bota telegramowego?
Oprogramowanie szpiegujące udaje, że jest legalne i zwabia potencjalne ofiary, obiecując to, czego aplikacja Telegram sama nie zapewnia: liczbę osób, które zajrzały na Twoją listę. Podobne aplikacje typu scam istnieją na Facebooku, obiecując, że pokażą Ci, kto Cię "nie zaprzyjaźnił". Po pobraniu go przez użytkownika, aplikacja prosi o twoje dane telegramu, aby mógł on rzekomo odzyskać liczbę osób, które oglądały twój profil. Twój wynik w rzeczywistości zależy od pseudolosowego generatora liczb, co oznacza, że możesz mieć aż 9,999,999 widzów.
Opis: Wow, Twój profil został obejrzany przez 7.358.982 osoby!
Aplikacja odczekuje chwilę, wychodzi i ukrywa swoją ikonę. Teraz, gdy większość ofiar uważa, że został on usunięty z ich urządzenia, może zacząć być zajęty w tle.
Aplikacja ukrywa tylko swoją ikonę z Twojej listy aplikacji, ale nadal możesz ją znaleźć pod zainstalowanymi aplikacjami w ustawieniach Twojego urządzenia.
Program szpiegowski telegram zaczyna się od zrobienia zdjęcia, ale nie kończy się na tym.
Jedną z pierwszych rzeczy, jakie robi ta aplikacja, jest zrobienie i zapisanie zdjęcia za pomocą przedniego aparatu urządzenia. Następnie Twoje dane kontaktowe, przychodzące i wychodzące wiadomości SMS oraz dane konta Google są nielegalnie przechwytywane i przechowywane w nowych, oddzielnych plikach w celu późniejszego przesłania na serwer napastnika.
Gdy urządzenie komunikuje się z napastnikiem za pośrednictwem interfejsu API bota telegramowego, który może teraz wysyłać i odbierać polecenia, przesyła Twoje wiadomości tekstowe (w tym numery telefonów nadawcy i odbiorcy oraz treść wiadomości), listę kontaktów, adres e-mail Google, lokalizację i zdjęcie. Napastnik może również poprosić o pliki, które są Twoje, a nie tylko te nowo utworzone przez aplikację.
W tym momencie twórcy oprogramowania szpiegującego mogą wysyłać różne dodatkowe polecenia, zasadniczo zdalnie kontrolując urządzenie, w tym polecenia do:
- wykonanie połączenia telefonicznego lub wysłanie SMS-a
- przekazywanie informacji o zainstalowanych aplikacjach i dostępnych plikach na serwer napastnika
- przesłać na serwer napastnika lub usunąć dowolny plik zapisany na urządzeniu
Napastnik nie jest jedynym, który ma dostęp do twoich skradzionych informacji.
Oprogramowanie szpiegujące ładuje wszystkie pliki poprzez skrypt PHP i zapisuje je w katalogu /rat/uploads na serwerze. Pliki te są dostępne dla każdego, kto wprowadzi właściwy adres URL do przeglądarki, prawdopodobnie z powodu nieodpowiednich środków bezpieczeństwa podjętych przez napastnika.
Skrypt używany do przesyłania plików jest bardzo prosty i w ogóle nie oczyszcza wejścia. Tydzień po pierwszych wpisach o tym Android spyware, ktoś już wstrzyknął złośliwy skrypt PHP do katalogu /rat/uploads, dając każdemu, kto go uruchomi, dostęp do powłoki serwera w przeglądarce. Serwer wygląda obecnie jak projekt szkoły testowania penetracyjnego, co oznacza, że kilka osób próbuje wgrać więcej złośliwych plików. Niektóre z nich usuwają skradzione dane, które pojawiają się w katalogu, podczas gdy inne tylko testują, co mogą zrobić z serwerem za plecami właściciela.
Zawsze upewnij się, że Twoje własne bezpieczeństwo jest szczelne, zanim zaatakujesz innych.
Co możesz zrobić, aby uniknąć programów szpiegowskich
Podążając za tymi krokami można chronić się nie tylko przed tym konkretnym oprogramowaniem szpiegowskim, ale także przed większością złośliwych aplikacji.
- Instaluj aplikacje tylko z renomowanych źródeł. (np. Google Play). Jeśli naprawdę musisz zezwolić na instalację z nieznanego źródła, wyłącz tę opcję po zainstalowaniu aplikacji.
- Przyjrzyj się innym aplikacjom autora i przeczytaj recenzje, szczególnie te najnowsze. Czy to jest jedyna aplikacja autora? Czy użytkownicy mówią, że aplikacja nic nie robi lub że zachowuje się podejrzanie? To są obie czerwone flagi. Uważajcie też na aplikacje, które mają tylko kilka świecących, 5-gwiazdkowych recenzji, wszystkie opublikowane w tym samym czasie i używające ogólnych zwrotów, takich jak "Najlepsza aplikacja w historii!", "Dziękuję!" czy "Kocham Twoją aplikację!". To są całkiem możliwe, że są one fałszywe. Wreszcie, jeśli nie ma żadnych ocen lub recenzji, lub jeśli autor je przefiltrował, należy ponownie rozważyć pobieranie.
- Przeczytaj listę uprawnień, o które prosi aplikacja. Czy aplikacja, która twierdzi, że może odzyskać swoją liczbę telegramów profile widzów naprawdę potrzebują dostępu do urządzenia latarki, aparatu fotograficznego lub wiadomości SMS? Jeśli zainstalowałeś aplikację i zniknęła ona z Twojej listy aplikacji, przejdź do ustawień urządzenia i sprawdź tam zainstalowane aplikacje. Jeśli nadal jest zainstalowana i tylko udaje, że zniknęła z listy aplikacji, możesz ją odinstalować w ustawieniach. Niektóre złośliwe aplikacje upewnij się, że nie usuniesz ich, instalując inny program wykonywalny, który ponownie je pobierze. Ten program szpiegowski nie podejmuje takich prób, chociaż jego kod pokazuje kilka możliwych przyszłych prób sklonowania samej aplikacji.
I nigdy nie zaszkodzi mieć inną linię obrony, taką jak Avast Free Mobile Security, która nie tylko blokuje złośliwe oprogramowanie i wirusy, ale także pozwala łączyć się prywatnie, blokować połączenia i blokować aplikacje.
Podsumowując, to oprogramowanie szpiegowskie jest ukryte i stanowi ogromne zagrożenie dla prywatności ofiar, pozostawiając nieświadomych użytkowników Telegramu na Androida otwartych na śledzenie, szpiegowanie i okradanie danych. Co gorsza, zaniedbania napastnika pozostawiają zgromadzone, poufne informacje dostępne dla każdego.
Podczas naszej analizy zauważyliśmy również, że niektóre próbki zawierały dodatkowe możliwości, które nie były wykorzystywane w aplikacji, takie jak możliwość sprawdzenia, czy urządzenie jest zakorzenione lub czy aplikacja została uruchomiona w emulatorze. Oznacza to, że program szpiegujący jest albo jeszcze w trakcie pracy, albo że jego twórca zbudował aplikację na większym szkielecie, po czym zdecydował się nie korzystać ze wszystkich jego możliwości. W każdym razie, nie ufaj swojemu urządzeniu lub swoim danym.
IOCs
Serwery hostujące przesłane pliki:
https://navidtwobottt.000webhostapp.com
http://telememberapp.ir
Używane telegraficzne boty:
bot397327632
bot391779082
bot382578708
bot374463427
bot339912423
bot314010881
bot283591101
Próbki:
0CFF8D65002CD6DFF2A6F79EEE6A25996AC7622452BC7A08BF55E4C540320812
1D0770AC48F8661A5D1595538C60710F886C254205B8CF517E118C94B256137D
12A89CEF7D400222C61651ED5DF57A9E8F54FE42BC72ECEB756BB1315731F72D
47419E7E531C12C50134D21F486F6C4BF3A11983628D349599C6500ABCDB30F5
BFEB978B3998A18F852BE7012D82CB5C6F14DE67CD4C4521F3D5ACF0B01F987F
05A779F322C281878C6946D7C4B0B0B17A56ADAD29387BDE08F6BF12055BE5C4
ED84D9B0A4C205EA108CD81A856E8027D03719802454A13CB2FCE1B50F257B54
Komentarze (0)