משתמשי טלגרם? נוזקה חדשה מאיימת להשתמש במכשירכם מרחוק

משפחה חדשה של כלי שליטה מרחוק (RATs, Remote Administration Tools) התגלתה במערכות אנדרואיד שמנצלים את פרוטוקול טלגרם כדי לשלוט על מכשירים ולחלץ מהם מידע.

תוך כדי שחקרו את מה שנראה כמו פעילות מוגברת מצד שתי נוזקות עליהן דיווחו בעבר, IRRAT ו-TeleRAT, גילו חוקרי חברת האטבחה ESET משפחת נוזקות חדשה לגמרי שהתפשטה בעולם מאז אוגוסט 2017. במרץ 2018, קוד המקור שלה פורסם בחינם בערוצי האקינג בטלגרם, וכתוצאה מכך נוצרו מאות גרסאות שונות של הנוזקה שמשתוללות בשטח.

אחת מהגרסאות האלה שונה מהאחרות – למרות שקוד המקור זמין לכולם ובחינם, היא מוצעת למכירה בערוץ טלגרם ייעודי, שם היא מכונה בשם HeroRAT. HeroRAT זמינה לרכישה בשלושה מודלי תשלום בהתאם לפונקציות הנדרשות ממנה, ועם קנייתה מתקבלת גישה לערוץ תמיכה בווידאו. לא ברור אם הגרסה הזו נוצרה מקוד המקור שדלף או שזהו "המקור" שהקוד שלו הודלף.

כיצד הנוזקה פועלת?

התוקפים גורמים לקורבנות להוריד את כלי השליטה מרחוק באמצעות הפצתו תחת תחפושות מפתות שונות דרך חנויות אפליקציות עצמאיות, רשתות חברתיות ואפליקציות מסרים. הבחנו בנוזקה מפיצה את עצמה כאפליקציה המציעה מטבעות ביטקוין בחינם, חיבור אינטרנט חינמי ועוקבים נוספים ברשתות החברתיות, במיוחד באיראן. הנוזקה לא נראתה בחנות Google Play.

הנוזקה פועלת בכל גרסאות אנדרואיד, אך המשתמשים שמתקינים את הנוזקה מוכרחים לתת לה את ההרשאות שהיא דורשת (ביניהן גם הפעלת האפליקציה כמנהל המכשיר), וכאן ההנדסה החברתית נכנסת לפעולה.

לאחר שהנוזקה מותקנת ומופעלת על המכשיר של הקורבן, קופצת הודעה לפיה האפליקציה לא יכולה לפעול על המכשיר ולכן היא תוסר ממנו. בגרסאות שנותחו, הודעת ההסרה מופיעה באנגלית או בפרסית, תלוי בהגדרות השפה במכשיר של המשתמש.

לאחר שההסרה מסתיימת, לכאורה, סמל האפליקציה נעלם. עם זאת, מצדו של התוקף, קורבן חדש נרשם בזה הרגע.

לאחר שהתוקף קיבל גישה למכשירו של הקורבן, הוא משתמש בפונקציית הבוט של טלגרם כדי לשלוט במכשיר החדש. כל אחד מהמכשירים הפרוצים נשלט ע"י בוט, שמותקן ומופעל ע"י אפליקציית הטלגרם של התוקף.

לנוזקה יש מגוון רחב של יכולות ריגול וחילוץ קבצים, ביניהן יירוט של הודעות ואנשי קשר, שליחת הודעות טקסט והוצאת שיחות, הקלטת מסך ושמע, גישה למיקום הפיזי של המכשיר ושליטה על הגדרות המכשיר.

נוזקת HeroRAT מחולקת לשלוש "חבילות" שונות – ארד, כסף וזהב – המוצעות למכירה ב-25, 50 ו-100 דולר, בהתאמה. קוד המקור עצמו מוצע למכירה ע"י היוצר (המוכשר) של HeroRAT ב-650 דולר.

יכולותיה של הנוזקה זמינות בצורה של כפתורים ברי-לחיצה בממשק הבוט של טלגרם. התוקפים יכולים לשלוט על מכשירים פרוצים פשוט באמצעות לחיצה על הכפתורים הזמינים בגרסת הנוזקה שהם מפעילים.

שלא כמו כלי השליטה מרחוק זדוניים קודמים שמצאו החוקרים, שנכתבו בשפת Java – השפה הסטנדרטית למערכות אנדרואיד, משפחת הנוזקות החדשה הזו פותחה מאפס באמצעות שפת C# ומסגרת העבודה Xamarin – שילוב נדיר בקרב הנוזקות למערכת אנדרואיד.

האופן שבו הנוזקה מתקשרת עם פרוטוקול טלגרם הותאם לשפת התכנות שלה – במקום להשתמש ב-API של בוט הטלגרם, אותו מנצלים כלי השליטה מרחוק שסקרנו לפני כן, משפחת הנוזקות הזו משתמשת ב-Telesharp, ספרייה המשמשת ליצירת בוטי טלגרם באמצעות שפת התכנות C#.

העברת הפקודות למכשיר והוצאת המידע מהמכשיר נעשות שתיהן באמצעות פרוטוקול טלגרם בלבד, אמצעי שנועד למנוע את זיהויה של הנוזקה, שנעשה לרוב באמצעות ניטור התעבורה לשרתי העלאה ידועים.

כיצד להתגונן מהנוזקה?

מכיוון שקוד המקור של הנוזקה הפך לזמין לכולם לאחרונה, כיום ניתן לפתח ולהפיץ גרסאות חדשות בכל מקום בעולם. מכיוון ששיטת ההפצה ואופן ההסוואה של נוזקה זו משתנים בין מקרה למקרה, אין זה מספיק לחפש אפליקציות ספציפיות במכשיר שלכם כדי לדעת אם הוא נפרץ.

אם אתם חוששים שהמכשיר שלכם נפרץ ע"י הנוזקה הזו, סרקו את המכשיר באמצעות פתרון אבטחה אמין למכשירים ניידים. מערכות ESET מזהות את האיום הזה בשמות Android/Spy.Agent.AMS ו- Android/Agent.AQO וחוסמות אותו.

כדי להימנע מליפול קורבן לנוזקות אנדרואיד, השתמשו רק בחנות האפליקציות הרשמית Google Play להורדת אפליקציות, הקפידו לקרוא את ביקורות הגולשים לפני שאתם מורידים כל אפליקציה שהיא ושימו לב אילו הרשאות אתם נותנים לאפליקציות, גם לפני ההתקנה וגם אחריה.