חוקרי ESET גילו משפחה חדשה של כלי שליטה מרחוק (RATs, Remote Administration Tools) במערכות אנדרואיד שמנצלים את פרוטוקול טלגרם כדי לשלוט על מכשירים ולחלץ מהם מידע.
תוך כדי שחקרו את מה שנראה כמו פעילות מוגברת מצד שתי נוזקות עליהן דיווחו בעבר, IRRAT ו-TeleRAT, גילו החוקרים משפחת נוזקות חדשה לגמרי שהתפשטה בעולם מאז אוגוסט 2017. במרץ 2018, קוד המקור שלה פורסם בחינם בערוצי האקינג בטלגרם, וכתוצאה מכך נוצרו מאות גרסאות שונות של הנוזקה שמשתוללות בשטח.
אחת מהגרסאות הללו שונה מהאחרות – למרות שקוד המקור זמין לכולם ובחינם, היא מוצעת למכירה בערוץ טלגרם ייעודי, שם היא מכונה בשם HeroRAT. HeroRAT זמינה לרכישה בשלושה מודלי תשלום בהתאם לפונקציות הנדרשות ממנה, ועם קנייתה מתקבלת גישה לערוץ תמיכה בווידאו. לא ברור אם הגרסה הזו נוצרה מקוד המקור שדלף או שזהו "המקור" שהקוד שלו הודלף.
כיצד הנוזקה פועלת?
התוקפים גורמים לקורבנות להוריד את כלי השליטה מרחוק באמצעות הפצתו תחת תחפושות מפתות שונות דרך חנויות אפליקציות עצמאיות, רשתות חברתיות ואפליקציות מסרים. הבחנו בנוזקה מפיצה את עצמה כאפליקציה המציעה מטבעות ביטקוין בחינם, חיבור אינטרנט חינמי ועוקבים נוספים ברשתות החברתיות, במיוחד באיראן. הנוזקה לא נראתה בחנות Google Play.
חלק מההסוואות המשמשות להפצת כלי השליטה מרחוק
הנוזקה פועלת בכל גרסאות אנדרואיד, אך המשתמשים שמתקינים את הנוזקה מוכרחים לתת לה את ההרשאות שהיא דורשת (ביניהן גם הפעלת האפליקציה כמנהל המכשיר), וכאן ההנדסה החברתית נכנסת לפעולה.
כלי השליטה מרחוק מבקש הרשאות מנהל
לאחר שהנוזקה מותקנת ומופעלת על המכשיר של הקורבן, קופצת הודעה לפיה האפליקציה לא יכולה לפעול על המכשיר ולכן היא תוסר ממנו. בגרסאות שנותחו, הודעת ההסרה מופיעה באנגלית או בפרסית, תלוי בהגדרות השפה במכשיר של המשתמש.
לאחר שההסרה מסתיימת, לכאורה, סמל האפליקציה נעלם. עם זאת, מצדו של התוקף, קורבן חדש נרשם בזה הרגע.
היוצר של HeroRAT מדגים התקנה של הנוזקה על המכשיר שלו (צילום מסך מסרטון הדרכה שניתן ע"י יוצר הנוזקה)
קוד המקור של הנוזקה עם הודעות הסרה מזויפות באנגלית ובפרסית
לאחר שהתוקף קיבל גישה למכשירו של הקורבן, הוא משתמש בפונקציית הבוט של טלגרם כדי לשלוט במכשיר החדש. כל אחד מהמכשירים הפרוצים נשלט ע"י בוט, שמותקן ומופעל ע"י אפליקציית הטלגרם של התוקף.
לנוזקה יש מגוון רחב של יכולות ריגול וחילוץ קבצים, ביניהן יירוט של הודעות ואנשי קשר, שליחת הודעות טקסט והוצאת שיחות, הקלטת מסך ושמע, גישה למיקום הפיזי של המכשיר ושליטה על הגדרות המכשיר.
נוזקת HeroRAT מחולקת לשלוש "חבילות" שונות – ארד, כסף וזהב – המוצעות למכירה ב-25, 50 ו-100 דולר, בהתאמה. קוד המקור עצמו מוצע למכירה ע"י היוצר (המוכשר) של HeroRAT ב-650 דולר.
יכולותיה של הנוזקה זמינות בצורה של כפתורים ברי-לחיצה בממשק הבוט של טלגרם. התוקפים יכולים לשלוט על מכשירים פרוצים פשוט באמצעות לחיצה על הכפתורים הזמינים בגרסת הנוזקה שהם מפעילים.
לוח הבקרה של HeroRAT
הפונקציות של HeroRAT – בגרסאות "ארד", "כסף" ו"זהב", משמאל לימין (צילומי מסך מסרטון ההדרכה שניתן ע"י יוצר הנוזקה)
שלא כמו כלי השליטה מרחוק זדוניים קודמים שמצאו החוקרים, שנכתבו בשפת Java – השפה הסטנדרטית למערכות אנדרואיד, משפחת הנוזקות החדשה הזו פותחה מאפס באמצעות שפת C# ומסגרת העבודה Xamarin – שילוב נדיר בקרב הנוזקות למערכת אנדרואיד.
האופן שבו הנוזקה מתקשרת עם פרוטוקול טלגרם הותאם לשפת התכנות שלה – במקום להשתמש ב-API של בוט הטלגרם, אותו מנצלים כלי השליטה מרחוק שסקרנו לפני כן, משפחת הנוזקות הזו משתמשת ב-Telesharp, ספרייה המשמשת ליצירת בוטי טלגרם באמצעות שפת התכנות C#.
העברת הפקודות למכשיר והוצאת המידע מהמכשיר נעשות שתיהן באמצעות פרוטוקול טלגרם בלבד, אמצעי שנועד למנוע את זיהויה של הנוזקה, שנעשה לרוב באמצעות ניטור התעבורה לשרתי העלאה ידועים.
כיצד להתגונן?
מכיוון שקוד המקור של הנוזקה הפך לזמין לכולם לאחרונה, כיום ניתן לפתח ולהפיץ גרסאות חדשות בכל מקום בעולם. מכיוון ששיטת ההפצה ואופן ההסוואה של נוזקה זו משתנים בין מקרה למקרה, אין זה מספיק לחפש אפליקציות ספציפיות במכשיר שלכם כדי לדעת אם הוא נפרץ.
אם אתם חוששים שהמכשיר שלכם נפרץ ע"י הנוזקה הזו, סרקו את המכשיר באמצעות פתרון אבטחה אמין למכשירים ניידים. מערכות ESET מזהות את האיום הזה בשמות Android/Spy.Agent.AMS ו- Android/Agent.AQO וחוסמות אותו.
כדי להימנע מליפול קורבן לנוזקות אנדרואיד, השתמשו רק בחנות האפליקציות הרשמית Google Play להורדת אפליקציות, הקפידו לקרוא את ביקורות הגולשים לפני שאתם מורידים כל אפליקציה שהיא ושימו לב אילו הרשאות אתם נותנים לאפליקציות, גם לפני ההתקנה וגם אחריה.