خبرهای مهم: سریعا ویندوز خود را آپدیت کنید!

تاریخ امروز برابر است با [ یکشنبه ۲ مهر ۱۳۹۶ ]

نسخه ای از نرم‌افزار پیام رسان پرطرفدار تلگرام در حال گسترش است که “تلگرام سیاه” نام دارد. در این پست به بررسی عملکرد این نرم‌افزار اندرویدی می‌پردازیم. با توجه به اینکه سورس کد تلگرام برای اندروید در گیت‌هاب قابل دریافت است (https://github.com/DrKLO/Telegram) ساخت یک نسخه دستکاری شده از تلگرام تنها به دانش جاوا و برنامه‌نویسی اندروید نیاز دارد. فایل مورد بررسی ما TelegrameSiah.apk نامگذاری شده‌است. پس از بررسی سورس کد آن متوجه می‌شویم که دقیقا بر پایه سورس کدی که بر روی گیت‌هاب منتشر شده است کار می‌کند و تنها تفاوتی جزیی میان این دو سورس کد مشاهده می‌شود.

در قدم اول با آنالیز فایل AndroidManifest نسخه نرم‌افزار را پیدا کردم که نسخه ۳٫۱۳٫۱ (۸۵۱۱) بود. سپس همین نسخه از کلاینت رسمی تلگرام را دانلود کردم. برای مقایسه سورس کد این دو برنامه برای راحتی کار با استفاده از jadx این پکیج اندرویدی را به سورس کد جاوا تبدیل کردم و در مرحله بعد با استفاده از diff و فلگ r تمامی فایل‌های جاوای این دو پکیج را مقایسه کردم.

خروجی دستور diff در این فایل قابل مشاهده است:‌ difference.txt

 

بررسی عملکرد تلگرام سیاه

برای درک بهتر از این کد در این مرحله به تشریح نحوه کار نرم‌افزار می‌پردازم و سپس به آنالیز کد باز خواهیم گشت.

پس از نصب و اجرای تلگرام سیاه، صفحه زیر به شما نمایش داده می‌شود.

پس از شروع به کار مانند نسخه اصلی تلگرام شماره تلفن همراه شما درخواست می‌شود و کد فعالسازی برای این شماره ارسال می‌شود.

پس از فالسازی اکانت اولین چیزی که توجه شما را جلب می‌کند اضافه شدن شما به دو کانال تبلیغات گسترده است:

اما این تمام ماجرا نیست و این اتفاق در پس زمینه رخ می‌دهد و شما تنها در صورتی از این اتفاق با خبر می‌شوید که اکانت خود را بر روی دستگاه دیگری نیز بررسی کنید زیرا پس از فعالسازی اکانت، صفحه دیگری به شما نمایش داده می‌شود که از شما دوباره شماره تلفن و کد فعالسازی درخواست می‌کند.

پس از وارد کردن شماره در صفحه بعد برای فعالسازی تلگرام سیاه درخواست مبلغ ۹۹۰۰ تومان می‌شود که در صورت تایید شما را به درگاه زیر هدایت می‌کند:

این اطلاعات توسط نرم‌افزار دستکاری نشده‌است و کاملا واقعیست اما اثری از آدرس اینترنتی پذیرنده یافت نمی‌شود و این دامنه حتی ثبت نیز نشده‌است. به هر حال پرداخت را انجام دادیم تا ببینیم در مرحله بعد چه چیزی انتظار ما را می‌کشد. پس از این با صفحه پرداخت موفقیت آمیز مواجه شدیم که همانطور که می‌بینید دو نرم‌افزار دیگر را نیز به عنوان هدیه در اختیار ما قرار می‌دهد. این دو نرم‌افزار را هنوز آنالیز نکرده‌ایم اما بدیهیست که آن‌ها نیز جعلی هستند.

اکنون انتظار فعالسازی اکانت خود را داشتیم که محقق نشد، یعنی پس از پرداخت نیز شما امکان استفاده از نرم‌افزار تلگرام سیاه را حداقل در نسخه ای که ما بررسی کردیم نداشتید. این بدین معنیست که نه تنها شما مبلغ ۹۹۰۰ تومان پرداخت کردید بلکه به صورت ناخواسته عضو کانال‌های تبلیغاتی ۱۷۰ هزار نفری این دوستان نیز شدید. نرخ تبلیغ در این کانال‌ها برای ۲۰ هزار بازدید مبلغ ۴۵۰۰۰ تومان است. نرم‌افزارهای جعلی اندرویدی مشابه همین تلگرام سیاه از جمله ردیاب پیشرفته، تلگراف و … در این کانال‌ها تبلیغ می‌شوند.

در این activity یک متود جدید با نام JoinChannel نیز اضافه شده که دو بار با دو مقدار آدرس هش فراخوانی می‌شود. با قرار دادن مقادیر AAAAAEDRX8ZG4nAAFDu0OA و AAAAAEGvmODHTEP5rWs4Hg در قالب آدرس‌های کانال‌های تلگرام به دو کانالی که در آن‌ها به صورت ناخواسته عضو شده بودیم می‌رسیم:

https://t.me/joinchat/AAAAAEGvmODHTEP5rWs4Hgوhttps://t.me/joinchat/AAAAAEGlNgCPY3qvpGwMBA

این کد در خط ۱۵۶ و ۱۵۷ با استفاده از ()LayoutInflater.inflate از دو فایل xml اضافه شده در ریسورس‌های برنامه دو view مربوط به پرداخت را تولید می‌کند و آن‌ها را به جای صفحه اصلی تلگرام نمایش می‌دهد. به این ترتیب عملکردهای مشاهده شده در نرم‌افزار در کد آن نیز مشهود است.

این کمپین با دریافت وجه ناچیز از کاربران عملا امکان ثبت شکایت به صورت شخصی و پیگیری‌های بعدی را بسیار کم کرده و در کنار آن از تبلیغات گسترده درآمدزایی می‌کند. فعالیت‌های این کمپین بسیار گسترده تر از تلگرام سیاه است، نرم‌افزارهای متعددی توسط تیم ما مشاهده شده که به API های سروری این کمپین متصل می‌شوند و به نظر می‌رسد یک شرکت به صورت سازماندهی شده در حال درآمدزایی از این روش است. آنالیزهای تکمیلی فعالیت‌های این کمپین در پست‌های بعدی ارائه خواهد شد.

 

:: نظرات

پاسخ دهید

نشانی ایمیل شما منتشر نخواهد شد.

*