היזהרו מקבצים לא מוכרים: התגלו כלי השתלטות המנצלים את הטלגרם

אנחנו רגילים לדבר על היתרונות של העולם הדיגיטלי, ומתעלמים מהחסרונות והסכנות הרבות שהוא כולל.

זה טבעי, קל ונוח יותר להדגיש את היתרונות, מה גם שהחסרונות והסכנות הן עניין בו מרבית המשתמשים לא נתקלים. יחד עם זאת, חשוב להכיר את הסכנות ולדעת כיצד להתמודד איתן.

אחת הסכנות המרכזיות בכלים דיגיטליים שונים הן נוזקות. נוזקה או תוכנה זדונית היא תוכנה שמטרתה לחדור למחשב ולהזיק לו, לאסוף מידע רגיש, להשיג גישה לרשתות פרטיות או להציג תוכן פרסומי לא רצוי. נוזקה שהתגלתה לאחרונה כוללת כלי שליטה מרחוק שמנצלים את פרוטוקול טלגרם על מנת להשתלט על מכשירים ולגנוב מהם מידע.

הנוזקה התגלתה על ידי חוקרי ESET שחקרו פעילות מוגברת של נוזקות עליהן כבר דווח בעבר: IRRAT ו-TeleRAT. תוך כדי עבודתם גילו החוקרים נוזקה חדשה לחלוטין שפועלת מאז אוגוסט 2017. התברר שבמהלך 2018 פורסם קוד המקור של הנוזקה הנ"ל בערוצי האקינג בטלגרם, כך נוצרו מאות גרסאות שונות שמשתוללות בשטח. אחת הגרסאות שונה מהאחרות, ומופצת בתשלום דרך ערוץ טלגרם ייעודי. הנוזקה הזו נקראת HeroRAT.

איך זה עובד בעצם?

הנוזקה מבוססת על כך שהקרבן התמים יוריד את כלי השליטה בעצמו ומרצונו החופשי. זה נעשה על ידי הפצה של הנוזקה בצורות מתחכמות, תוך הסוואה והסתרה של התכלית האמיתית שלה. האקרים מפרסמים את התוכנות הללו בחנויות אפליקציות עצמאיות שמוגנות פחות טוב מגוגלפליי, וכן דרך הרשתות החברתיות ואפליקציות מסרים מידיים. בין השאר הבחינו החוקרים בנוזקה המפיצה עצמה כאפליקציה המציעה מטבעות ביטקוין בחינם, חיבורי אינטרנט חינמיים וכאפשרות לקבל עוקבים נוספים ברשתות החברתיות.

הנוזקה פעילה בכל הגרסאות של אנדרואיד, וכדי שהיא תפעל על המשתמש לתת לה את ההרשאות שהיא דורשת. כמו שאתם בטח יודעים, כשמשתמש הממצוע מוריד אפליקציה הוא פשוט מסכים לכל מה שהיא מבקשת ממנו, לכן זו לא בעיה עבור הנוזקה להתחיל לפעול במכשיר.

אחרי שהקרבן אישר את פעולת האפליקציה, מתקבלת הודעה שהיא לא יכולה לפעול ולכן היא תוסר. ההסרה מסתיימת, סמל האפליקציה נעלם, אולם ברגע הזה נרשם קרבן נוסף אצל התוקף. הנוזקה נעלמת רק מהמסך הראשי של הקרבן, אבל הנוזקה פעילה אצלו במכשיר.

אחרי קבלת הגישה למכשיר משתמש התוקף בפונקציית הבוט של טלגרם, כך הוא יכול לשלוט במכשיר של הקרבן. למעשה, כל מכשיר פרוץ על ידי התוכנה נשלט בידי בוט, שמותקן ומופעל על ידי הטלגרם של התוקף.

 

מה הם הנזקים שמסבה הנוזקה הזו?

ל-HeroRAT מגוון יכולות ריגול וחילוץ קבצים. כך לדוגמה, היא מסוגלת ליירט הודעות ומספרים של אנשי קשר, לשלוח הודעות טקסט, להוציא שיחות, להקליט ולצלם את המסך ועוד. בנוסף, ניתן לשלוט בהגדרות המכשיר באמצעותה.

HeroRAT מחולקת ל-3 חבילות אותן ניתן לרכוש: ארד, כסף וזהב. הן מוצעות למכירה תמורת 25, 50 ו-100 דולר בהתאמה, וקוד המקור מוצע למכירה תמורת 650 דולר. מי שיבחר לעשות שימוש בנוזקה יקבל גישה למכשירים שונים, ויוכל לבצע פעולות ריגול שונות באמצעות כפתורים שמוטמעים שממשק הבוט של טלגרם.

חושב לדעת שנוזקת HeroRAT ייחודית בכך שהיא כתובה בשפת קוד שאינה אופיינית לתוכנות זדוניות שמכוונות לאנדרואיד. בדרך כלל תוכנות כאלה כתובות בשפת Java, ואילו הנוזקה הזו כתובה באמצעות שפת C# ומסגרת העבודה Xamarin. הנוזקה משתמשת בספרייה של בוטי טלגרם ומקבלת אליהם גישה באמצעות השימוש שלה בשפת C#. כיוון שהיא משתמשת בטלגרם כדי לשלוט במכשיר הנשלט, מאוד קשה לזהות שהיא פועלת ברקע.

אז איך מתגוננים?

כמו כל אדם נורמלי, גם אתם לא רוצים לגלות שמישהו התקין תוכנה זדונית על הסמארטפון שלכם, לכן נשאלת השאלה איך מתגוננים. ראשית, עליכם להקפיד על הורדת אפליקציות מחנות האפליקציות הרשמית של גוגל בלבד.

אם אתם חוששים שהמכשיר שלכם נפרץ, עליכם לסרוק אותו בעזרת פתרון אבטחה אמין למכשירים ניידים. תוכלו לבצע סריקה של המכשיר באמצעות מערכת כמו ESET, ואם המערכת זיהתה איום בשם Android/Spy.Agent.AMS או Android/Agent.AQO היא תחסום אותו ואתם תהיו מוגנים.

שימו לב לכך שקוד המקור של הנוזקה זמין לכולם, לכן נוצרו גרסאות רבות, מה שגורם לכך שאופני ההפצה וההסוואה של הנוזקה מגוונים. כדי לגלות את הנוזקה במכשיר שלכם לא מספיק לחפש אפליקציות חשודות, כיוון שהן פשוט לא יתגלו לכם.