خبرهای مهم: سریعا ویندوز خود را آپدیت کنید!

تاریخ امروز برابر است با [ دوشنبه ۳ مهر ۱۳۹۶ ]

پس از اعلام هشدار گسترش بدافزار های اندروید تحت عنوان اینستا ممبر و پروفایل چکر توسط @LukasStefanko بررسی تیم تلسکم بر روی این بدافزار شامل نتایج زیر است:

 

 

بدافزار پس از نصب بر روی سیستم اقدام به ساخت ۳ فایل به شرح زیر در آدرس/Android/data/ بر روی حافظه SD موبایل میکند:

 

 

دامنه های کنترل C&C بدافزار که برای ارسال اطلاعات هم بکار میروند:

 

اطلاعات whois دامنه telememberapp.ir:

ایمیل ها و اطلاعات منتسب به دامنه :
mohsen.nic1396@gmail.com, arashrasoulzadeh@gmail.com
https://github.com/arashrasoulzadeh

برای تکمیل این گزارش اپ های زیر مورد برسی قرار گرفته است:

۹۷e86142277670085966f2059e64fa6b337fefd65d9980a2a60309552e2ae3e2 کالا
e610a93afaf225417037670b400aaf6fd2d0f86abd3c5988892b7e2325a0823c
۰cff8d65002cd6dff2a6f79eee6a25996ac7622452bc7a08bf55e4c540320812
bfeb978b3998a18f852be7012d82cb5c6f14de67cd4c4521f3d5acf0b01f987f
۱d0770ac48f8661a5d1595538c60710f886c254205b8cf517e118c94b256137d
پروفایل چکر
۴۷۴۱۹e7e531c12c50134d21f486f6c4bf3a11983628d349599c6500abcdb30f5 instagram bypasser
 ۴۱۳۲b1f1b6adaba7419abaa545821c88918edb206ce2c0d6632c081195f081cf  Fly VPN

تمامی اپ های فوق توسط یک کمپین تولید شده اند و بدافزار مورد استفاده با عنوان Android.Spy.377.origin توسط drweb قبلا گزارش شده است.
یکی از قابلیت های این بدافزار دریافت فرامین از تلگرام است که پس از نصب بر روی سیستم قربانی پیامی برای هکر ارسال میشود:

 

بدافزار برای ارسال پیام از بات تلگرام استفاده میکند و برای آن نیاز به توکن دارد ، بات های استخراج شده و آی دی هایی که پیام برایشان ارسال میشده است:

 وضعیت آیدی تلگرام توکن استخراج شده از بدافزار به همراه ساختار api
 فعال @mrvortex https://api.telegram.org/bot374463427:AAEm2LhOCuskRDZFfD_JAgFvceNzPH4X6d4/sendmessage?chat_id=53328018
 فعال  @RDP_CRACKER  https://api.telegram.org/bot382578708:AAEksq1KB6vHmPb17kGPhqPfkWaVzCFji9A/sendmessage?chat_id=337662230
 فعال  @MrY4gh1  https://api.telegram.org/bot397613967:AAHMEykhBawgKDZgTBZNAN4bIJjPTc1IjcU/sendmessage?chat_id=306250784
 فعال  @info_off  https://api.telegram.org/bot391779082:AAHYTw1YadlkjnZHDXO0dK6nzyt7tYnigWA/sendmessage?chat_id=390677637
غیر فعال Unauthorized https://api.telegram.org/bot314010881:AAGYavnzBh9ODmSqsPCLzuKQsFIdKKy3Buo/sendmessage?chat_id=65837299
فعال @Aydi_a https://api.telegram.org/bot339912423:AAHeJoVC3i8zzwXhtCQMBoevSCn3jEuKfZU/sendmessage?chat_id=275899582
فعال @Dimitriof https://api.telegram.org/bot283591101:AAFeVelWUvAQsZml74i1QidquIuZaD0lMwg/getChat?chat_id=315255796

 

دستوراتی که هکر میتواند برای بدافزار از طریق تلگرام ارسال کند:

 

بدافزار در زمان های مشخص با تابع getupdates از تلگرام فرامین را میخوانده است.

 

از دو سرور کنترل بدافزار ، navidtwobottt.000webhostapp.com مسدود شده ولیtelememberapp.ir همچنان در حال فعالیت است:

اطلاعات سیستم ها توسط فایلی با نام upload_file.php به سرور بارگزاری میشود:

 

همونطور که مشخص است این کد به شما اجازه آپلود هر فایلی رو میده و به راحتی میشود با بارگزاری وبشل به سرور کنتل باج افزار دسترسی گرفت :

همچنین طبق مشاهدات ما این بدافزار توسط افرادی در گروه های تلگرام در بازه های زمانی مختلف پخش میشده است:

فایل پخش شده در تلگرام : RAT.rar

دامنه های مهم دیگر مرتبط با این فرد یا افراد دامنه dlappdev.ir است که متعلق به فردی به نام محسن جهانی است که ظاهرا در بیزنس تولید اپ های  اندروید فعال است و  این وب سایت هسته کنترل اپ اینستــا ممبــر (لایک و فالوئر) است. بر اساس میزان دانلود در کافه بازار، بالای ۵۰ هزار نصب فعال و از طریق توابع خود سرور میتوان دید که کاربر های زیادی هم دارد :

http://dlappdev.ir/api.php?page=server_info

 

که البته نکنه مهم و حلقه اتصال دامنه ها به جز اطلاعات whois اسکریپت مورد استفاده است که شبیه همون چیزی است که بر روی دامنه telememberapp.ir استفاده میشده است:

این احتمال وجود دارد که دامنهtelememberapp.ir مورد استفاده هکر ها برای کنترل رت هک شده و اطلاعات بر روی آن ریخته شده باشد که این نظریه با توجه به طولانی بودن این فعالیت کم رنگ میشود.

این بدافزار فقط در اختیار یک گروه/فرد نیست و در حال تکثیر و استفاده است. همچنین  طبق رصد تلسکم اولین بار توسط فروم هکینگی به نام  tabrizhack.com مورد استفاده قرار گرفته است.

 

تلسکم باز هم متذکر میشود که وظیفه و اجازه پیگیری قانونی این موضوع را ندارد و صرفا بر اساس اطلاعات موجود منتشر شده در سایت های خارجی و بررسی های داخلی متن بالا را منتشر کرده است. 
نویسنده: محمد جرجندی

:: نظرات

پاسخ دهید

نشانی ایمیل شما منتشر نخواهد شد.

*