14/02/2018

Szkodliwe zdjęcia w aplikacji Telegram

Zagrożenia

Aplikacje do komunikowania się są nie tylko przydatne do utrzymywania kontaktu, ale stanowią także otwarte okno, przez które osoba obca może wtargnąć w nasze życie. Niedawno omawialiśmy trojana dla platformy Android, Skygofree, który szpiegował użytkowników m.in. poprzez aplikacje Facebook Messenger, Skype, Viber czy WhatsApp. Dziś powiemy o nowej infekcji, którą wykryli nasi eksperci. Rozprzestrzenia się ona poprzez aplikację Telegram — i to w bardzo pomysłowy sposób.

Szkodliwy program zamiast zdjęcia kotka!

Jednym z głównych celów twórców tego trojana jest przekonanie użytkowników, aby go uruchomili. W tym celu stosują oni pewne triki.

Cyberprzestępcy postanowili wykorzystać fakt, że w niektórych językach zapis przebiega od prawej strony do lewej — np. arabski czy hebrajski — a także fakt, że Unicode, będący standardem komputerowym i niemal wszechobecnym zestawem znaków, umożliwia zmianę kierunku zapisu słów. Po użyciu specjalnego niewidocznego znaku następujący po nim ciąg liter będzie automatycznie wyświetlany w kolejności odwrotnej. Hakerzy postanowili wykorzystać tę możliwość w ostatnim ataku.

Cyberprzestępcy prawdopodobnie tworzą szkodliwy plik o nazwie Trojan.js. Rozszerzenie JS sugeruje, że jest to plik JavaScript, więc może zawierać kod wykonywalny. Ostrożny użytkownik natychmiast wyczuje podstęp i nie zdecyduje się go uruchomić. Dlatego oszuści nadają im inną nazwę — np. cute_kitten*U+202E*gnp.js.

Chociaż wygląda to jeszcze gorzej, ciąg „U+202E” jest znakiem języka Unicode, po którym litery i znaki interpunkcyjne są wyświetlane od prawej do lewej. A w związku z tym nazwa pliku będzie następująca: cute_kittensj.pngW takich okolicznościach wydaje się, że rozszerzeniem jest PNG — czyli plik zawiera obraz, choć w rzeczywistości jest trojanem JavaScript.

Trik polegający na zmianie nazwy przy użyciu kodowania Unicode nie jest niczym nowym. Został on użyty do ukrywania szkodliwych załączników e-mail i pobierania plików niemal dziesięć lat temu, a wiele środowisk jest już przed nim zabezpieczona. Jednak gdy Telegram został zaatakowany po raz pierwszy, schemat zadziałał. Innymi słowy, Telegram zawiera (a raczej zawierał) tak zwaną lukę RLO, którą wykryli nasi badacze.

Zdjęcie kociaka okazuje się koparką lub backdoorem

Luka została wykryta tylko w kliencie aplikacji Telegram przeznaczonej na system Windows, a nie w aplikacjach mobilnych. Nasi eksperci wykryli nie tylko sam fakt, że ona istnieje, ale także to, że atakujący aktywnie z niej korzystali. Teoretycznie system operacyjny powinien ostrzec potencjalną ofiarę, że ma zamiar uruchomić plik wykonywalny z nieznanego źródła — co już brzmi nieciekawie — lecz wiele osób klika przycisk Uruchom, nie czytając komunikatu.

Gdy zobaczysz takie okno, zastanów się. A najlepiej od razu zrezygnuj

Po uruchomieniu szkodliwe oprogramowanie rzeczywiście wyświetla „cudnego kociaka”, aby stłumić wszelkie podejrzenia. Jednak trojan zawiera ze sobą inny ładunek, który uruchamia po cichu, w zależności od swojej konfiguracji.

Pierwszy rodzaj ładunku to ukryta koparka. Gdy zostanie uruchomiona, komputer zwalnia i zaczyna się przegrzewać, próbując wydobyć kryptowalutę dla atakującego. Drugi rodzaj ładunku to backdoor, który umożliwia cyberprzestępcom zdalne sterowanie komputerem i wykonywanie na nim dowolnych czynności, od usuwania i instalowania programów po gromadzenie osobistych danych. Taka infekcja może pozostać niewykryta przez bardzo długi czas, a użytkownik niczego nie podejrzewa.

Zachowaj spokój i rób swoje

Nasi badacze szybko zgłosili fakt odkrycia luki programistom aplikacji Telegram, którzy ją wyeliminowali (ku zirytowaniu cyberprzestępców, którzy chcieli ją wykorzystać). Jednak nie oznacza to, że Telegram czy inne popularne aplikacje do komunikacji nie są wolne od błędów. Zwyczajnie nie zostały one jeszcze odkryte. Aby zatem nie złapać infekcji, warto zastosować się do kilku prostych zasad. Są one adekwatne zarówno do mediów społecznościowych, komunikatorów, jak i innych sposobów komunikacji przez internet:

  • Nie pobieraj ani nie otwieraj plików pochodzących z nieznanych źródeł. Jeśli osoba obca wyśle Ci jakieś zdjęcie, dobrze się zastanów, zanim je otworzysz.
  • Jeśli podczas otwierania jakiegoś pliku zobaczysz ostrzeżenie wyświetlone przez system, zwróć uwagę, czy jego opis odpowiada otwieranemu plikowi.
  • Zainstaluj niezawodny produkt zabezpieczający, taki jak Kaspersky Internet Security, który pomoże Ci zidentyfikować szkodliwe oprogramowanie ukrywające się np. pod postacią zdjęcia podczas jego pobierania oraz na każdym etapie instalacji.