Spyware ที่สั่งการผ่าน Telegram’s Bot API โดยมีเป้าหมายที่ผู้ใช้ Android ในประเทศอิหร่าน
Spyware จะหลอกว่าตัวมันเองนั้นปลอดภัยโดยการสวมรอยเป็นแอปพลิเคชัน Cleaner Pro หรือ Profile Checker นอกจากนี้ยังมีแอปพลิเคชันอันตรายสำหรับ Facebook เช่นกัน โดยจะมีคำบรรยายว่าจะช่วยให้ผู้ใช้ทราบว่าใคร “unfriended” ผู้ใช้ไปบ้าง เมื่อผู้ใช้ดาวน์โหลดแอปพลิเคชันก็จะขอข้อมูล Telegram ของผู้ใช้เพื่อเรียกดูจำนวนผู้ที่เคยดูโปรไฟล์ของผู้ใช้ หลังจากนั้นแอปพลิเคชันจะหายไปแต่ความจริงแล้วแอบทำงานอย่างลับๆ
เมื่ออุปกรณ์ของเหยื่อติดต่อสื่อสารกับผู้บุกรุกผ่านทาง Telegram Bot API ที่สามารถส่งและรับคำสั่งได้แล้วสิ่งแรกที่แอปนี้ทำคือบันทึกภาพของเหยื่อโดยใช้กล้องด้านหน้าของอุปกรณ์ จะมีการขโมยข้อความรวมถึงหมายเลขโทรศัพท์ของผู้ส่งและผู้รับ , รายชื่อผู้ติดต่อ , Google email address , รูปถ่าย , ข้อมูลเกี่ยวกับแอปพลิเคชันที่ติดตั้ง โดยข้อมูลจะถูกจัดเก็บไว้อย่างผิดกฎหมายในไฟล์ใหม่ที่แยกต่างหากสำหรับการอัปโหลดภายหลังไปยังเซิร์ฟเวอร์ของผู้โจมตี และยังสามารถลบหรือร้องขอไฟล์ส่วนตัวของเหยื่อได้ไม่ใช่เฉพาะไฟล์ที่แอปฯของผู้ไม่หวังดีสร้างขึ้นมาใหม่
Spyware ได้อัปโหลดไฟล์ทั้งหมดผ่านทางสคริปต์ PHP และบันทึกไว้ในไดเร็กทอรี / rat / uploads บนเซิร์ฟเวอร์ โดยไฟล์เหล่านี้ทุกคนที่รู้ URL สามารถเข้าถึงได้ สาเหตุอาจเพราะผู้ไม่หวังดีวางมาตรการรักษาความปลอดภัยไม่เพียงพอ
ผู้ใช้งานสามารถหลีกเลี่ยง Spyware และการโจมตีรูปแบบอื่นได้ โดยปฎิบัติตามนี้
- ติดตั้งแอปพลิเคชันจากแหล่งที่เชื่อถือได้เท่านั้น
- สังเกตแอปพลิเคชันอื่นๆผู้พัฒนา และควรอ่านรีวิวแต่ไม่ควรไว้ใจแอปฯที่มีคำรีวิวที่ไม่น่าใว้ใจ เช่น “แอปที่ดีที่สุดตลอดกาล” , “Thank you!” , “รักแอปฯนี้ที่สุดเลย”
- ควรอ่านรายละเอียดสิทธิ์การเข้าถึงที่แอปพลิเคชันร้องขอ
ที่มา : avast