بات ابزاری برای جاسوسی در تلگرام

لابراتوار امنیتی Forcepoint با تجزیه و تحلیل این پیام رسان به وجود بدافزاری به نام GoodSender پی برده اند که از API بات تلگرام به عنوان کانال فرمان و کنترل استفاده کرده و به تهیه اسکرین شات، حذف و دانلود فایل، دریافت داده های آدرس IP، کپی اطلاعات کلیپ‌بورد و حتی راه اندازی مجدد سیستم قربانی می پردازد. البته این بدافزار همه کاربران تلگرام را آلوده نکرده و بیشتر بر API باتی متمرکز است که برای ارائه خدمات از آن استفاده می شود. 

GoodSender که چندان هم پیچیده نیست پس از آلوده کردن سیستم قربانی، یک اکانت سطح مدیر جدید ایجاد کرده و حتی امکان دسترسی از راه دور به دسکتاپ را فراهم می سازد. با توجه به رمزنگاری شدن پیام های تلگرام شناسایی این بدافزار بسیار پیچیده بوده و ظاهرا یکسال از عمر آن می گذرد.

بات تلگرام برخلاف سرویس پیام رسانی عادی از پروتکل MTProto استفاده نکرده و از مدلی ضعیفتر به نام TLS بهره می برند که معمولا در رمزنگاری وب HTTPS کاربرد دارد. این مساله به اشخص دیگر اجازه می دهد به استراق سمع پیام های ارسالی و دریافتی بات بپردازند. هر پیام منحصر به فرد در تلگرام از ID خاصی برخوردار است که به صورت نموی افزایش پیدا می کند؛ بنابرین کارشناسان لابراتوار با اجرای یک اسکریپت ساده به تاریخچه پیام های بات دسترسی پیدا کرده اند.

به گفته Forcepoint هکر حین بکارگیری بدافزار آدرس IP را خود مخفی نکرده و به همین خاطر آنها توسعه دهنده بدافزار را شناسایی کرده اند. با این حال برخی سوال ها مثل اینکه بدافزار چگونه به سیستم نفوذ می کند بی پاسخ مانده، هرچند کارشناسان حدس می زنند که بدین منظور از ابزار هک به سرقت رفته از آژانس امنیت ملی آمریکا به نام EternalBlue استفاده شده است. تعداد دقیق قربانیان هم مشخص نشده اما IP تعداد زیادی از آنها به کشورهای آمریکا، ویتنام، هند و استرالیا ارتباط دارد. لابراتوار مورد بحث کشف این آسیب پذیری را به تلگرام اطلاع داده است.