پژوهشگران حوزه امنيت کمپاني دکتر وب به تازگي تروجاني را در اندرويد کشف کرده اند که مجرمان سايبري آن را از پروتکل تلگرام کنترل مي نمايند. اين برنامه مخرب مي تواند به اجراي دستورات هکرها پرداخته و اطلاعات محرمانه کاربران را به سرقت ببرد.
به گزارش دکتر وب، تروجان مذکور که Android.Spy.377.origin نام دارد در واقع يک ابزار مديريت از راه دور (RAT) است که در ظاهر اپليکيشن هاي سالم و بي خطر انتشار مي يابد. ظاهرا اين تروجان اخيرا موفق شده که برخي ديوايس هاي ايراني ها را هم آلوده کند. تروجان مذکور مي تواند در قالب اپليکيشن هايي به نام اينستا پلاس (Insta Plus)، پروفايل چکر (Profile Checker) و Cleaner Pro به تلفن هاي هوشمند و تبلت هاي اندرويدي وارد شود.
اين تروجان به محض آغاز کار، به صاحب ديوايس پيشنهاد مي دهد که از محبوبيت خود در ميان کاربران تلگرام باخبر شود، و براي دستيابي به اين مقصود آيدي تلگرام کاربر را طلب مي کند. پس از اين که قرباني اطلاعاتش را وارد کرد، تروجان Android.Spy.377.origin تعداد «افراد بازديد کننده» از پروفايل کاربر را به نمايش وي در مي آورد، هر چند که در حقيقت اين کار را انجام نداده و آماري کذب و غير واقعي ارائه مي کند.
اين موضوع باعث مي شود که کاربر خطر اين نرم افزار مخرب را جدي نگرفته و نسبت به عملکرد آن مشکوک نشود. تروجان Android.Spy.377.origin حتي گاهي اوقات مي تواند پس از اجرا روي سيستم عامل، آيکن ميان برش را هم از صفحه خانه حذف کرده و براي جلوگيري از برانگيخته شدن شک کاربر صفحه خود را هم به طور کامل ببندد.
Android.Spy.377.origin يکي از برنامه هاي جاسوسي کلاسيک محسوب مي شود که قادر به اجراي فرمان مجرمان سايبري است. با اين حال وجه تمايز مهمي با ديگر تروجان هاي اندرويدي دارد، و آن هم اين که از طريق پروتکل پيام رساني تلگرام کنترل مي شود. به گفته تيم دکتر وب اين اولين تروجان اندرويدي است که چنين خصوصيتي دارد.
تروجان مورد بحث پس از پاک کردن آيکن ميان بر، اطلاعاتي مثل فهرست مخاطبين دفترچه تلفن، پيامک هاي ارسالي و دريافتي و اطلاعات حساب کاربري گوگل صاحب ديوايس را کپي کرده و سپس آن ها را در فايل هاي تکست پيست و ذخيره مي نمايد.
همچنين براي شناسايي صاحب ديوايس، قادر به گرفتن عکس توسط دوربين سلفي موبايل يا تبلت قرباني هم هست. پس از اين کار، تروجان کليه اطلاعات و تصاوير به سرقت رفته را در مرکز کنترل خود بارگذاري مي کند، و از طريق ارسال سيگنال به رباتي مخصوص در تلگرام موفقيت آميز بودن آلوده شدن ديوايس را به اطلاعات مجرمان سايبري مي رساند.
پس از به سرقت رفتن اطلاعات، تروجان Android.Spy.377.origin مجددا به ربات تلگرام متصل شده و منتظر پاسخ ربات براي ارسال دستورات کنترل مي شود. دستورات دريافتي مي توانند شامل برقراري تماس تلفني، ارسال يک پيامک، فوروارد اطلاعات مربوط به اپ هاي نصب شده به سرور، دريافت موقعيت جغرافيايي کاربر، حذف فايل و موارد ديگري باشند که فهرست کامل آن ها را مي توانيد در منبع خبر مشاهده نماييد.
تيم دکتر وب بابت انتشار اين تروجان ميان ديوايس هاي اندرويدي هشدار داده و توصيه کرده که کاربران براي نصب اپليکيشن هاي اندرويدي فقط از منابع معتبر (همچون گوگل پلي) اقدام نمايند. البته لازم به ذکر است که تمام نسخه هاي شناخته شده تروجاني که از آن صحبت کرديم توسط آنتي ويروس دکتر وب براي اندرويد شناسايي شده اند، بنابراين با نصب اين نرم افزار آنتي ويروس خطري شما را تهديد نخواهد کرد.
به گزارش دکتر وب، تروجان مذکور که Android.Spy.377.origin نام دارد در واقع يک ابزار مديريت از راه دور (RAT) است که در ظاهر اپليکيشن هاي سالم و بي خطر انتشار مي يابد. ظاهرا اين تروجان اخيرا موفق شده که برخي ديوايس هاي ايراني ها را هم آلوده کند. تروجان مذکور مي تواند در قالب اپليکيشن هايي به نام اينستا پلاس (Insta Plus)، پروفايل چکر (Profile Checker) و Cleaner Pro به تلفن هاي هوشمند و تبلت هاي اندرويدي وارد شود.
اين تروجان به محض آغاز کار، به صاحب ديوايس پيشنهاد مي دهد که از محبوبيت خود در ميان کاربران تلگرام باخبر شود، و براي دستيابي به اين مقصود آيدي تلگرام کاربر را طلب مي کند. پس از اين که قرباني اطلاعاتش را وارد کرد، تروجان Android.Spy.377.origin تعداد «افراد بازديد کننده» از پروفايل کاربر را به نمايش وي در مي آورد، هر چند که در حقيقت اين کار را انجام نداده و آماري کذب و غير واقعي ارائه مي کند.
اين موضوع باعث مي شود که کاربر خطر اين نرم افزار مخرب را جدي نگرفته و نسبت به عملکرد آن مشکوک نشود. تروجان Android.Spy.377.origin حتي گاهي اوقات مي تواند پس از اجرا روي سيستم عامل، آيکن ميان برش را هم از صفحه خانه حذف کرده و براي جلوگيري از برانگيخته شدن شک کاربر صفحه خود را هم به طور کامل ببندد.
Android.Spy.377.origin يکي از برنامه هاي جاسوسي کلاسيک محسوب مي شود که قادر به اجراي فرمان مجرمان سايبري است. با اين حال وجه تمايز مهمي با ديگر تروجان هاي اندرويدي دارد، و آن هم اين که از طريق پروتکل پيام رساني تلگرام کنترل مي شود. به گفته تيم دکتر وب اين اولين تروجان اندرويدي است که چنين خصوصيتي دارد.
تروجان مورد بحث پس از پاک کردن آيکن ميان بر، اطلاعاتي مثل فهرست مخاطبين دفترچه تلفن، پيامک هاي ارسالي و دريافتي و اطلاعات حساب کاربري گوگل صاحب ديوايس را کپي کرده و سپس آن ها را در فايل هاي تکست پيست و ذخيره مي نمايد.
همچنين براي شناسايي صاحب ديوايس، قادر به گرفتن عکس توسط دوربين سلفي موبايل يا تبلت قرباني هم هست. پس از اين کار، تروجان کليه اطلاعات و تصاوير به سرقت رفته را در مرکز کنترل خود بارگذاري مي کند، و از طريق ارسال سيگنال به رباتي مخصوص در تلگرام موفقيت آميز بودن آلوده شدن ديوايس را به اطلاعات مجرمان سايبري مي رساند.
پس از به سرقت رفتن اطلاعات، تروجان Android.Spy.377.origin مجددا به ربات تلگرام متصل شده و منتظر پاسخ ربات براي ارسال دستورات کنترل مي شود. دستورات دريافتي مي توانند شامل برقراري تماس تلفني، ارسال يک پيامک، فوروارد اطلاعات مربوط به اپ هاي نصب شده به سرور، دريافت موقعيت جغرافيايي کاربر، حذف فايل و موارد ديگري باشند که فهرست کامل آن ها را مي توانيد در منبع خبر مشاهده نماييد.
تيم دکتر وب بابت انتشار اين تروجان ميان ديوايس هاي اندرويدي هشدار داده و توصيه کرده که کاربران براي نصب اپليکيشن هاي اندرويدي فقط از منابع معتبر (همچون گوگل پلي) اقدام نمايند. البته لازم به ذکر است که تمام نسخه هاي شناخته شده تروجاني که از آن صحبت کرديم توسط آنتي ويروس دکتر وب براي اندرويد شناسايي شده اند، بنابراين با نصب اين نرم افزار آنتي ويروس خطري شما را تهديد نخواهد کرد.
موسسه نرم افزاری ترسیم رایانه شرق