محققان بدافزار از کمپانی ESET نوع جدیدی از Android RAT به نام HeroRAT را شناسایی کردهاند که از پروتکل تلگرام برای command and control و data exfiltration استفاده میکند. بدافزار HeroRAT اولین بدافزاری نیست که از پروتکل تلگرام سوء استفاده میکند، تحقیقات پیشین حملاتی مشابه این حمله مانند TeleRAT و IRRAT را گزارش کردهاند.
این RAT جدید حداقل از ماه اوت سال 2017 گسترش پیدا کرده است و در ماه مارس سال 2018 source code آن به صورت رایگان در کانال های هکینگ تلگرام به اشتراک گذاشته شده و به هکرها امکان ایجاد نوعی خاص از خود را میدهد.
بدافزار HeroRAT به این شکل متولد میشود، اما به نظر میرسد کاملا از سایر نسخههایی که کد منبع را استفاده کردهاند متفاوت باشد. بدافزار HeroRAT اولین بدافزار برپایه تلگرام است که در C# با استفاده از Xamarin framework ساخته شده است، نسخههای پیشین با زبان Java نوشته شده بودند.
این RAT از کتابخانه Telesharp برای ساخت رباتهای تلگرام با C# استفاده میکند. بدافزارها از طریق کانالهای مختلف پخش میشوند، و حتی گاها از طریق فروشگاههای third-party به عنوان رسانه های اجتماعی و برنامههای پیام رسان عرضه میشوند.
بر اساس مشاهدات محققان بیشترین تعداد آلودگی به این بدافزار در ایران بوده است، برنامه های آلوده bitcoin و اینترنت رایگان، و اضافه کردن follower در شبکه های اجتماعی را برای تشویق به دانلود به کاربران پیشنهاد میدهند.
برنامه های بررسی شده توسط ESSET رفتار عجیبی را از خود نشان داده اند، بعد از نصب بدافزار و اجرا بر روی سیستم قربانی، یک popup کوچک نمایش داده میشود که ادعا میکند برنامه قادر به اجرا شدن روی دستگاه نیست و به همین دلیل، uninstall خواهد شد. هنگامی که به ظاهر حذف برنامه کامل شد، آیکن مربوط به برنامه ناپدید میشود، اما متاسفانه، اتکر کنترل دستگاه قربانی را به دست آورده است.
مهاجم از قابلیت ربات تلگرام برای کنترل دستگاه آلوده بهره میبرد، بدافزار قادر است تا طیف گستردهای از دستورات مانند file exfiltration و ضبط صدا و تصویر را اجرا نماید.
بدافزار HeroRAT دارای صف گستردهای از قابلیتهای جاسوسی و file exfiltration ، شامل رهگیری پیامهای متنی و مخاطبین، ارسال پیامهای متنی و برقراری تماس، ظبط صدا و تصویر صفحه، به دست آوردن محل دستگاه، و کنترل تنظیمات دستگاه میباشد و همچنان این بررسیها ادامه دارد.
کد اصلی بدافزار HeroRAT برای فروش به مبلغ 650 دلار عرضه میشود، همچنین نویسندگان سه بسته از این نرم افزارهای مخرب را بسته به ویژگی هر یک برنز، نقره و طلا طبقه بندی کرده و قیمت هر یک به ترتیب 25، 50 و 100 دلار میباشد.
قابلیتهای HeroRAT در قالب دکمه های قابل کلیک کردن در ربات Telegram قابل دسترس هستند. مهاجمان قادرند تا دستگاه قربانی را به سادگی با کلیک بر روی دکمههای موجود در نسخههای مخرب کنترل نمایند. در دسترس بودن کد منبع آنلاین نسخه های جدید را وارد مینماید، بهترین راه برای بررسی این که آیا گوشی تلفن شما آلوده شده است یا خیر اسکن آن توسط یک راه حل امنیتی مطمئن میباشد.