جاسوسی از کاربران ایرانی در تلگرام

گروه فناوری- کارشناسان امنیتی به تازگی یک تروجان اندرویدی را شناسایی کرده‌اند که در برنامه‌های کاربردی اندرویدی مخفی شده است و توسط گروه تبهکاران سایبری از طریق پروتکل‌های تلگرام کنترل می‌شود‌. این برنامه مخرب، اطلاعات مهم و محرمانه کاربران را به سرقت می‌برد و تمامی فرامین گروه تبهکاران سایبری را در گوشی قربانی اجرا می‌کند‌.
نام این تروجان، origin.377..سAndroid. Spy. است که به ۳۷۷ spy شناخته می‌شود و یک RAT یا ابزار کنترل مدیریت دستگاه از راه دور محسوب می‌شود و در پوشش اپلیکیشن‌های راه‌انداز گوشی شروع به کار می‌کند‌. بنا بر تحقیقات این تیم امنیتی، هدف این تروجان، کاربران ایرانی است؛ بر طبق گزارشات این تروجان روی اپلیکیشن‌های اینستاپلاس، پروفایل چکر و cleaner pro وجود دارد و کاربرانی که این اپلیکیشن‌ها را نصب کنند، اطلاعات شخصی خود را در معرض خطر می‌بینند‌.
وقتی این اپلیکیشن را نصب می‌کنید، تروجان به کاربر این پیشنهاد را می‌دهد که میزان محبوبیت کاربر در بین دیگر کاربران تلگرام را بسنجد و برای این کار، اطلاعات شخصی کاربر را طلب می‌کند و پس از اینکه قربانی این اطلاعات را وارد می‌کند، تروجان یک عدد خیالی به عنوان میزان محبوبیت کاربر در بین دیگر پروفایل‌های تلگرامی روی صفحه نمایش می‌دهد‌.
در واقع این تروجان هیچ چکی انجام نمی‌دهد و عدد نمایش داده شده تنها یک عدد تصادفی است‌. این عمل باعث می‌شود که کاربر هیچ شکی به تروجان و فعالیت مخربش نکند و اقدامی برای پاکسازی آن نیز نکند‌. طبق گزارشات، بعضی وقت‌ها هم پس از نصب برنامه، این تروجان شورتکات برنامه را از روی صفحه نمایش حذف می‌کند و در پس‌زمینه به فعالیت‌های مخرب خود ادامه می‌دهد‌.
۳۷۷ spy در واقع یک برنامه جاسوس‌افزار کلاسیک است که قابلیت اجرای تمامی دستورات تیم مدیریتی خود روی دستگاه قربانی را دارد‌. نکته‌ای که این تروجان را از دیگر تروجان‌ها متمایز می‌کند این است که از طریق پروتکل انتقال پیام تلگرام در بین دیگر کاربران توزیع می‌شود و این اولین موردی است که تیم کارشناسی دکتر وب با آن برخورد کرده است‌. پس از حذف شورتکات اپلیکیشن، این تروجان شروع به کپی کردن لیست مخاطبان، پیام‌های کوتاه فرستاده شده و دریافتی، اطلاعات گوگل و اطلاعات شخصی مالک گوشی می‌کند و تمامی این اطلاعات را در یک فایل متنی در دایرکتوری ذخیره می‌کند و در نهایت با استفاده از دوربین جلوی گوشی، یک عکس از صورت کاربر می‌گیرد و سپس همه این موارد را با دستور تیم تبهکاران سایبری برای سرور آنها ارسال می‌کند و ربات تلگرامی آنها پس از دریافت این اطلاعات، پیام «این دستگاه به‌طور موفقیت‌آمیزی آلوده شد» را صادر می‌کند‌. پس از انجام عملیات فوق، تروجان منتظر دستور بعدی می‌ماند که می‌تواند یکی از دستورات زیر باشد:
*Call : یک تماس تلفنی برقرارکن
*Sendmsg : یک پیام کوتاه ارسال کن
*Getapps : اطلاعاتی در مورد اپلیکیشن‌های نصب روی گوشی را برای سرور ارسال کن
*Getfiles : اطلاعاتی در مورد تمامی فایل‌های موجود در گوشی برای سرور ارسال کن
*Getloc : موقعیت مکانی گوشی را برای سرور ارسال کن
*Upload: فایل‌های دستوری واقع در گوشی را برای سرور ارسال کن
* :removeA فایل مذکور را از روی گوشی پاک کن
* removeB :گروهی از فایل‌ها را پاک کن
* Lstmsg : اطلاعات تمامی sms‌های ورودی و خروجی شامل نام فرستنده، نام گیرنده، شماره موبایل و محتویات پیام را برای سرور ارسال کن
به گزارش کلیک، وقتی هر کدام از این دستورات اجرا شوند، قسمتی از اطلاعات برای سرور ارسال می‌شوند‌.
نکته جالب این تروجان این است که با دریافت هر sms جدید برای صاحب گوشی، یک پیام برای سرور و گروه تبهکاران سایبری ارسال می‌شد‌. به کاربران اندرویدی توصیه می‌شود برای محافظت دستگاه خود از این تروجان خطرناک، اپلیکیشن‌ها را تنها از گوگل پلی دریافت کنند‌ البته تمامی نسخه‌های این تروجان توسط آنتی‌ویروس دکتر وب قابل شناسایی است و قادر است تمامی آنها را حذف کند‌.