خانه » حمله همزاد شیطانی تلگرام به کاربران چینی

حمله همزاد شیطانی تلگرام به کاربران چینی

توسط Vulnerbyte
89 بازدید
نسخه جعلی تلگرام

کارشناسان کسپرسکی چندی پیش در گوگل پلی دسته‌ای از مدهای تلگرام را با توضیحاتی به زبان چینی سنتی، چینی ساده شده و اویغوری کشف کردند. فروشنده مدعی است که اینها سریعترین برنامه‌هایی هستند که از شبکه توزیع شده مراکز پردازش داده در سراسر جهان استفاده می‌کنند.

نسخه جعلی تلگرام و حمله به کاربران چینی
نسخه جعلی تلگرام و حمله به کاربران چینی
نسخه جعلی تلگرام و حمله به کاربران چینی

چه مشکلی ممکن است با یک مد تلگرام که به درستی توسط گوگل پلی آزمایش شده و از طریق فروشگاه رسمی در دسترس است، وجود داشته باشد؟ خب، خیلی چیزها، در حقیقت نه تنها عوامل تهدید راه‌هایی برای نفوذ به گوگل پلی پیدا می‌کنند، بلکه برنامه‌های مخرب خود را نیز به فروش می‌رسانند. از این رو، کارشناسان کسپرسکی به تجزیه و تحلیل مد این پیام رسان پرداختند.

هنگامی که برنامه راه اندازی می‌شود، هیچ تفاوتی با تلگرام اصلی ندارد.

نسخه جعلی تلگرام و حمله به کاربران چینی

اما بیایید نگاهی به کد آن بیندازیم:

 

تلگرام جعلی

در ابتدا تصوری از یک مد تلگرام کاملاً معمولی ایجاد می‌کند: اکثر پکیج‌ها شبیه به پکیج‌های استاندارد هستند. اما با بررسی دقیق‌تر، می‌توانید بسته‌ای به نام com.wsys را مشاهده کنید که برای تلگرام معمولی نیست. باید دید چه توابعی متدهای این پکیج را فراخوانی می‌کنند.

تلگرام جعلی
توابع فراخوانی کتابخانه مشکوک com.wsys

لیست توابعی که com.wsys را فراخوانی می‌کنند، نشان می‌دهد که این قطعه کد به معنای دسترسی به مخاطبین کاربر است. با توجه به اینکه این پکیج بخشی از مجموعه ویژگی‌های استاندارد پیام رسان نیست، به نظر می‌رسد یک متد حرفه‌ای برای جمع‌آوری داده‌ می‌باشد.

تلگرام جعلی
connectSocket()

کتابخانه com.wsys در متد connectSocket()  اجرا می‌گردد که به کلاس activity  اصلی مسئول صفحه شروع برنامه اضافه شده است. این روش زمانی فراخوانی می‌شود که برنامه را راه اندازی می‌کنید یا به حساب دیگری وارد می‌شوید. اطلاعات مربوط به کاربر مانند نام، شناسه کاربر و شماره تلفن جمع آوری شده و پس از آن برنامه به سرور فرمان متصل می‌شود.

نسخه تلگرام جعلی
نسخه جعلی تلگرام و حمله به کاربران چینی

یک سورپرایز ناخوشایند دیگر هنگام دریافت پیام در انتظار کاربر است: در کد پردازش پیام ورودی، عوامل تهدید یک فراخوانی برای متد uploadTextMessageToService اضافه کرده‌اند.

نسخه تلگرام جعلی
پردازش پیام های دریافتی توسط بدافزار

نکته حائز اهمیت اینجاست که نسخه تلگرام اصلی حاوی چنین متدی در همان بخش کد نیست.

نسخه جعلی تلگرام
پردازش پیام های دریافتی توسط تلگرام

uploadTextMessageToService به هنگام دریافت پیام، محتویات، عنوان چت/کانال و شناسه، و همچنین نام و شناسه فرستنده را جمع آوری می‌کند. سپس اطلاعات جمع آوری شده رمزگذاری گشته و در یک فایل موقت به نام tgsync.s3 ذخیره می‌شود. برنامه این فایل موقت را در فواصل زمانی مشخص به سرور فرمان ارسال می‌کند.

نسخه جعلی تلگرام
رمزگذاری داده های استخراج شده

عملکرد مخرب برنامه به سرقت پیام‌ها ختم نمی‌شود. فراخوانی برای روش uploadFriendData به کد پردازش مخاطبین اضافه شده است.

نسخه جعلی تلگرام
uploadFriendData

این روش برای جمع آوری اطلاعات در مورد مخاطبین کاربر استفاده می‌شود: شناسه، نام مستعار، نام و شماره تلفن. همه اینها به همین ترتیب به سرور فرمان ارسال خواهند شد. اگر کاربر تصمیم بگیرد نام و شماره تلفن خود را تغییر دهد، این اطلاعات نیز برای مهاجم و سرور فرمان ارسال می‌گردد.

نسخه جعلی تلگرام
جمع آوری داده های کاربر تغییر یافته

هنگامی که کاربر فایلی را دریافت و یا ارسال می‌کند، برنامه یک کپی رمزگذاری شده از آن ایجاد می‌نماید که سپس به حساب مهاجمان ساکن در یکی از ذخیره سازی‌های ابری محبوب ارسال می‌گردد.

تلگرام جعلی
استخراج فایل های ارسالی

 

سخن پایانی

حملاتی که از مدهای مختلف غیررسمی تلگرام استفاده می‌کنند اخیرا در حال افزایش هستند. اغلب آنها آدرس‌های کیف پول کریپتو را در پیام‌های کاربران جایگزین می‌کنند و یا کلاهبرداری تبلیغاتی انجام می‌دهند. برخلاف آن‌ها، برنامه‌های شرح داده ‌شده در این مقاله از دسته‌ای از نرم‌افزارهای جاسوسی کامل هستند که کاربران را از یک منطقه خاص (چین) هدف قرار می‌دهند و می‌توانند کل مکاتبات، داده‌های شخصی و مخاطبین قربانی را به سرقت بَرَند و با این حال کد آنها فقط کمی با کد اصلی تلگرام برای بررسی‌های امنیتی نرم افزاری گوگل پلی متفاوت است. همانطور که مشاهده می‌شود، تنها آیتم رسمی بودن فروشگاه، امنیت برنامه را تضمین نمی‌کند. از این رو، می‌بایست مراقب حالت‌های پیام رسان شخص ثالث، حتی آنهایی که توسط گوگل پلی توزیع می‌شوند، بود.

 

IOC

منبع

همچنین ممکن است دوست داشته باشید

پیام بگذارید