Pierwszy sterowany trojan przez komunikator Telegram

19 lipca, 2017

Analiza przeprowadzona przez firmę Avast ujawniła właśnie pierwszego trojana dla systemu Android, który wykorzystuje publiczne API Telegramu do zaprogramowania własnego klienta dla systemu od Goggle’a. Ów klient wykorzystywany jest w trojanie do przekierowywania użytkowników do pobierania szpiegujących programów. Na razie tylko internautów z Iranu…

Telegram, oprócz szyfrowania komunikacji end-to-end, która działa w oparciu o szyfry AES-256, RSA-2018 i klucz wymiany DH, umożliwia każdemu deweloperowi stworzenie własnego rozwiązania wymieniającego dane pomiędzy wszystkimi klientami w formie zaszyfrowanego czatu przesyłanego szyfrowanym protokołem HTTPS. Tradycyjnie w wymianie wiadomości pomiędzy użytkownikami Telegramu pośredniczy serwer producenta. Publicznie i darmowe API umożliwia zaprogramowanie takiej aplikacji, która niekoniecznie będzie wykorzystywana zgodnie z prawem.

Opisywana kampania dotyczy szpiegowania przez zainstalowaną z aplikację z niezaufanego źródła. W tym konkretnym przypadku mówimy o scam’ie na Facebooku – ktoś zachęca użytkowników do pobrania aplikacji wyświetlającej informacje o osobach, które wyświetliły konto ofiary lub osobach, które „odlajkowały” profil użytkownika. W tym pierwszym przypadku, rzekoma ilość wyświetleń profilu, generowana jest losowo.

telegram bot api screenshot viewers
Ponad 7 milionów wyświetleń profilu – to tylko pseudolosowa liczna.

Złośliwa aplikacja po kilku minutach zamyka się i usuwa ikonę.

telegram bot api hidden app spyware
Użytkownik może uwierzyć, że aplikacja została usunięta. Tak jednak nie jest.

Trojan działa w tle. Jego funkcje są bardzo rozbudowane. Szpiegowanie polega na kradzieży informacji z urządzenia i wysyłaniu ich za pośrednictwem szyfrowanego kanału do serwera kontrolowanego przez przestępców:

  • zdjęcia użytkownika (przeszukuje galerię oraz używa przedniego aparatu do robienia zdjęć)
  • wykradane są kontakty z książki adresowej i z listy połączeń przychodzących i wychodzących,
  • wiadomości SMS
  • informacje o koncie Google
  • informacje o lokalizacji

Twórcy trojana mogą wysyłać różne dodatkowe polecenia:

  • dzwonienia i wysyłania wiadomości
  • przekazywania informacji o zainstalowanych aplikacjach
  • usuwania plików zapisanych na urządzeniu

Co ciekawe, osoba atakująca nie jest jedyną, która ma dostęp do skradzionych informacji:

telegram bot api spyware server screenshot
Ktoś zapomniał zabezpieczyć serwera przed ciekawskimi.

Program szpiegujący przesyła wszystkie pliki za pośrednictwem skryptu PHP i zapisuje je w katalogu „/rat/uploads” na serwerze. Pliki te są dostępne dla każdego. Ktoś nie popisał się z zabezpieczeniem danych albo nie zwracał na to uwagi.

Aby chronić się przed podobnymi atakami, należy instalować aplikacje tylko z zaufanego źródła oraz zwracać uwagę na przyznawane uprawnienia instalowanym programom.

Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

Czy ten artykuł był pomocny?

Średnia ocena: 0 / 5. Liczba głosów: 0

guest
0 komentarzy
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]