محققان امنیتی هشدار دادند تروجان اندرویدی جدیدی شناسایی شده که از واسط های برنامه نویسی بات تلگرام برای ارتباط با سرور دستور و کنترل و ارسال داده ها به این سرور بهره برداری می کند. این بدافزار TeleRAT نام داشته و به نظر می رسد در داخل ایران و کاربران ایرانی را هدف قرار داده است. این بدافزار مشابه بدافزار IRRAT است که قبلا مشاهده شده بود و از واسط های برنامه نویسی بات تلگرام بهره برداری می کرد.
بدافزار IRRAT هنوز هم به فعالیت خود ادامه میدهد و خود را در قالب برنامههایی که شمارهی بازدیدکنندگان پروفایل تلگرام شما را نمایش میدهند، توزیع میشود. این برنامه پس از نصب، بدافزار را ایجاد کرده و فایلهایی را بر روی سیمکارت قربانی توزیع میکند که در ادامه میتواند اطلاعاتی را به سمت سرور دستور و کنترل ارسال کند.
فایلهایی که به سمت سرور دستور و کنترل ارسال میشود حاوی فهرست مخاطبان، فهرستی از حسابهای گوگل که بر روی دستگاه ثبت شدهاند، تاریخچهی پیامکها، تصاویری که با دوربین جلو و عقب گوشی گرفته شدهاند هستند. بدافزار مخرب گزارشهای خود را به بات تلگرام تحویل داده و از منوی گوشی محو میشود و در پسزمینه اجرا شده و منتظر دستورات میماند.
از طرف دیگر بدافزار TeleRAT دو فایل بر روی دستگاه قربانی ایجاد میکند. یکی از این فایلها حاوی اطلاعات زیادی در مورد دستگاه قربانی است و در دیگری نیز فهرست کانالهای تلگرام و دستورات متعدد ذخیره شده است. این بدافزار پس از نصب بر روی دستگاه قربانی، با ارسال تاریخ و زمان به بات تلگرام از طریق واسطهای برنامهنویسی تلگرام، به مهاجم این مسأله را اطلاع میدهد.
بدافزار در ادامه سرویسی را در پسزمینه راهاندازی کرده و به تغییراتی که در حافظهی دستگاه ایجاد میشود گوش میدهد. بدافزار هر ۴٫۶ ثانیه بهروزرسانیها را از بات تلگرام واکشی کرده و به دستورات گوش میدهد. بدافزار در ادامه براساس دستوراتی که دریافت میکند میتوان فهرستی از مخاطبان ایجاد کند، فایلهایی را ایجاد کند، مخاطبهای جدید اضافه کند، پیامک ارسال و دریافت کند، با شمارههای مختلف تماس بگیرد، دستگاه را در حالت بیصدا یا صدادار قرار دهد، با دوربین گوشی عکس بگیرد یا عکسها را از گالری دستگاه جمعآوری کند.
این بدافزار قادر است با استفاده از تابع sendDocument در واسط برنامهنویسی بات تلگرام، فایلهایی که از دستگاه قربانی جمعآوری کرده را به سمت سرور دستور و کنترل ارسال کند. این بدافزار تمامی ارتباطات خود را با استفاده از واسط برنامهنویسی بات تلگرام انجام داده و تشخیصهای مبتنی بر شبکه را دور میزند. بدافزار با استفاده از این واسطهای برنامهنویسی برای بهروزرسانی از دو تابع getUpdates و یا Webhook استفاده میکند.
گفته میشود شناسهی توسعهدهندهی این بدافزار در کد آن موجود است که محققان را به سمت کانال تلگرامی با نام vahidmail67 هدایت میکند. در این کانال سرویسهایی مانند لایک و دنبالکنندهی اینستاگرام، سرویسهای باجافزاری و هرگونه تروجان ناشناخته ارائه میشود. محقان همچنین متوجه شدند در انجمنهای برنامهنویسی ایرانی یک کتابخانه با قابلیت کنترل توسط بات تلگرام برای فروش تبلیغ میشده که نمونههایی از این کد در بدافزار TeleRAT مشاهده شده است. هرچند این انجمن ادعا میکند طبق قوانین کشور ایران کار میکند ولی چنین عملیات مخربی نیز در آن مشاهده میشود.
به دلیل اینکه در بدافزار TeleRAT از کدهای توسعهدهندگان مختلف و کدهای متنباز استفاده شده است، به راحتی نمیتوان آن را به گروه خاصی نسبت داد. با این حال گفته میشود توسعهدهندگان این تروجان چند نفر هستند که داخل ایران فعالیت میکنند. این بدافزار در بازارهای شخص ثالث برنامههای کاربردی در قالب برنامههای قانونی و غیرقانونی و همچنین کانالهای تلگرامی توزیع میشود. تقریبا ۲۲۹۳ کاربر تاکنون به این بدافزار آلوده شدهاند که نزدیک به ۸۲ درصد از شمارهها مربوط به ایران هستند.