رات/رت اندروید ایرانی با عنوان اینستا ممبر و پروفایل چکر

پس از اعلام هشدار گسترش بدافزار های اندروید تحت عنوان اینستا ممبر و پروفایل چکر توسط @LukasStefanko بررسی تیم تلسکم بر روی این بدافزار شامل نتایج زیر است:

بدافزار پس از نصب بر روی سیستم اقدام به ساخت ۳ فایل به شرح زیر در آدرس/Android/data/ بر روی حافظه SD موبایل میکند:

  • <imei + numbers.txt> — شامل لیست مخاطبین ذخیره شده در سیستم;
  • <imei + sms.txt> — شامل محتوی ذخیره شده تمامی پیامک های ارسالی و دریافتی;
  • <imei + acc.txt> — شامل اطلاعات حساب کاربری گوگل متصل به سیستم.

دامنه های کنترل C&C بدافزار که برای ارسال اطلاعات هم بکار میروند:

وضعیت دامنه
مسدود شده https://navidtwobottt.000webhostapp.com/
فعال http://telememberapp.ir/
 فعال (بدافزار مشابه ولی مرتبط با کمپین دیگر) http://andridremoter.ir/

اطلاعات whois دامنه telememberapp.ir:

 

ایمیل ها و اطلاعات منتسب به دامنه :
[email protected][email protected]
https://github.com/arashrasoulzadeh

برای تکمیل این گزارش اپ های زیر مورد برسی قرار گرفته است:

97e86142277670085966f2059e64fa6b337fefd65d9980a2a60309552e2ae3e2 کالا
e610a93afaf225417037670b400aaf6fd2d0f86abd3c5988892b7e2325a0823c
0cff8d65002cd6dff2a6f79eee6a25996ac7622452bc7a08bf55e4c540320812
bfeb978b3998a18f852be7012d82cb5c6f14de67cd4c4521f3d5acf0b01f987f
1d0770ac48f8661a5d1595538c60710f886c254205b8cf517e118c94b256137d
پروفایل چکر
47419e7e531c12c50134d21f486f6c4bf3a11983628d349599c6500abcdb30f5 instagram bypasser
 4132b1f1b6adaba7419abaa545821c88918edb206ce2c0d6632c081195f081cf  Fly VPN

تمامی اپ های فوق توسط یک کمپین تولید شده اند و بدافزار مورد استفاده با عنوان Android.Spy.377.origin توسط drweb قبلا گزارش شده است.
یکی از قابلیت های این بدافزار دریافت فرامین از تلگرام است که پس از نصب بر روی سیستم قربانی پیامی برای هکر ارسال میشود:

بدافزار برای ارسال پیام از بات تلگرام استفاده میکند و برای آن نیاز به توکن دارد ، بات های استخراج شده و آی دی هایی که پیام برایشان ارسال میشده است:

 وضعیت آیدی تلگرام توکن استخراج شده از بدافزار به همراه ساختار api
 فعال @mrvortex https://api.telegram.org/bot374463427:AAEm2LhOCuskRDZFfD_JAgFvceNzPH4X6d4/sendmessage?chat_id=53328018
 فعال  @RDP_CRACKER  https://api.telegram.org/bot382578708:AAEksq1KB6vHmPb17kGPhqPfkWaVzCFji9A/sendmessage?chat_id=337662230
 فعال  @MrY4gh1  https://api.telegram.org/bot397613967:AAHMEykhBawgKDZgTBZNAN4bIJjPTc1IjcU/sendmessage?chat_id=306250784
 فعال  @info_off  https://api.telegram.org/bot391779082:AAHYTw1YadlkjnZHDXO0dK6nzyt7tYnigWA/sendmessage?chat_id=390677637
غیر فعال Unauthorized https://api.telegram.org/bot314010881:AAGYavnzBh9ODmSqsPCLzuKQsFIdKKy3Buo/sendmessage?chat_id=65837299
فعال @Aydi_a https://api.telegram.org/bot339912423:AAHeJoVC3i8zzwXhtCQMBoevSCn3jEuKfZU/sendmessage?chat_id=275899582
فعال @Dimitriof https://api.telegram.org/bot283591101:AAFeVelWUvAQsZml74i1QidquIuZaD0lMwg/getChat?chat_id=315255796

دستوراتی که هکر میتواند برای بدافزار از طریق تلگرام ارسال کند:

  • call — make a phone call;
  • sendmsg — send an SMS;
  • getapps — forward information about the installed applications to the server;
  • getfiles — forward information about all the available files to the server;
  • getloc — forward device location information to the server;
  • upload — upload to the server the file that is indicated in a command and stored on the device;
  • removeA — delete from the device the file specified in a command;
  • removeB — delete a file group;
  • lstmsg — forward to the server the file containing information about all the sent and received SMS, including sender and recipient phone numbers, and message contents;
  • yehoo — the command is not implemented.

بدافزار در زمان های مشخص با تابع getupdates از تلگرام فرامین را میخوانده است.

از دو سرور کنترل بدافزار ، navidtwobottt.000webhostapp.com مسدود شده ولیtelememberapp.ir همچنان در حال فعالیت است:

اطلاعات سیستم ها توسط فایلی با نام upload_file.php به سرور بارگزاری میشود:

همونطور که مشخص است این کد به شما اجازه آپلود هر فایلی رو میده و به راحتی میشود با بارگزاری وبشل به سرور کنتل باج افزار دسترسی گرفت :

 

همچنین طبق مشاهدات ما این بدافزار توسط افرادی در گروه های تلگرام در بازه های زمانی مختلف پخش میشده است:

فایل پخش شده در تلگرام : RAT.rar

دامنه های مهم دیگر مرتبط با این فرد یا افراد دامنه dlappdev.ir است که متعلق به فردی به نام محسن جهانی است که ظاهرا در بیزنس تولید اپ های  اندروید فعال است و  این وب سایت هسته کنترل اپ اینستــا ممبــر (لایک و فالوئر) است. بر اساس میزان دانلود در کافه بازار، بالای ۵۰ هزار نصب فعال و از طریق توابع خود سرور میتوان دید که کاربر های زیادی هم دارد :

http://dlappdev.ir/api.php?page=server_info

که البته نکنه مهم و حلقه اتصال دامنه ها به جز اطلاعات whois اسکریپت مورد استفاده است که شبیه همون چیزی است که بر روی دامنه telememberapp.ir استفاده میشده است:

این احتمال وجود دارد که دامنهtelememberapp.ir مورد استفاده هکر ها برای کنترل رت هک شده و اطلاعات بر روی آن ریخته شده باشد که این نظریه با توجه به طولانی بودن این فعالیت کم رنگ میشود.

این بدافزار فقط در اختیار یک گروه/فرد نیست و در حال تکثیر و استفاده است. همچنین  طبق رصد تلسکم اولین بار توسط فروم هکینگی به نام  tabrizhack.com مورد استفاده قرار گرفته است.

افراد و یا صاحبان وب سایت هایی که در این گزارش نامی از آنها برده شده است اگر مطلبی خلاف واقع مشاهده کردند آن را برای ما ارسال کنند.

منابع:
https://vms.drweb.com/virus/?i=15421778&lng=en
http://www.virqdroid.com/2017/06/android-trojan-iran-telegram.html
https://koodous.com/

 

بیانیه دوستانی که بالا اسمشون برده شد عینا بدین صورت است:

آقای محسن جهانی:
با سلام.اینجانب محسن جهانى جوابیه خود را نسبت به متن مطرح شده در سایت تلسکم به صورت زیر بیان میکنم.

این دامنه و هاستینگ مربوطه  از چند ماه پیش هک شده است و هکر ها از این دامنه استفاده نادرست می کردند که این دامنه به محظ اطلاع بسته شد.
هاستینگ این دامنه ارتباطی با نرم افزار اینستاممبر یا تله گراف ممبر ندارد و ماه ها است هاستینگ این دو اپلیکیشن تغییر کرده است. و اپ هاى نسخه قبلی اصلا اجرا
نمیشوند.
پیشنهاد میشود حتما و فقط نرم افزار های مربوطه را از طریق مارکت معتبر کافه بازار و مایکت دریافت کنید دقت کنید اگر اپلیکیشن های مذکور را از سایت ها و یا کانال های تلگرامی دانلود کنید عواقب هک شدن به پای خود کاربر است.

بسم تعالی
اینجانب آرش رسول زاده
بنا به اینکه این اسمم به عنوان صاحب دامنهtelememberapp.ir آورده شده لازم دیدم مطالبی را عرض کنم:
این دامنه در تاریخ حدود اواخر ٩۵ به آقای محسن جهانی واگذار شده ولی هنوز اطلاعات نیک آن همان قبلی است ولی انتقال قابل اثبات است. آقای محسن جهانی تولید کننده این اپ هاست و من هیج نقشی جز در اختیار قرار دادن دامنه بدون اطلاعی از هدف استفاده نداشتم
اطلاعی از سو استفاده احتمالی از این دامنه ندارم
تلسکم باز هم متذکر میشود که وظیفه و اجازه پیگیری قانونی این موضوع را ندارد و صرفا بر اساس اطلاعات موجود منتشر شده در سایت های خارجی و بررسی های داخلی متن بالا را منتشر کرده است. 

1 thought on “رات/رت اندروید ایرانی با عنوان اینستا ممبر و پروفایل چکر”

پاسخ دهید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *