黑客團伙利用Instagram和Telegram設套，針對伊朗開展間諜活動

思科發現有組織（被國家資助）使用了多種技術遠端訪問社交媒體和安全資訊應用程式。活動從2017年持續到了2018年，他們使用了包括假登入頁面、偽裝成合法副本的惡意應用程式和BGP劫持等技術攻擊使用者竊取其私人資訊，據思科調查，這些活動似乎專門針對Telegram（訊息應用程式）和Instagram（社交應用程式）上的伊朗使用者。

Telegram已經成為伊朗“灰色”軟體的熱門目標，因為大約4000萬使用者使用該應用程式。雖然它主要用於日常交流，但抗議組織者過去也曾用它來組織針對伊朗政府的示威活動，特別是在2017年12月。在少數情況下，伊朗政府要求Telegram關閉某些“促進暴力”的渠道。

從2017年開始，有人一直在使用各類策略收集Telegram和Instagram的使用者資訊，這些活動的複雜性，資源需求和方法各不相同。思科分析，這些活動專門針對電報應用程式的伊朗使用者，以竊取個人和登入資訊。

安裝後，即使使用者使用了合法Telegram應用程式，但一些“克隆版”Telegram也能訪問移動裝置的完整聯絡人列表和訊息。而下載了假Instagram後，惡意軟體悔將完整的會話資料傳送回後端伺服器，這允許攻擊者完全控制正在使用的帳戶。

思科將這些應用歸類為“灰色軟體”。它不具有明確的惡意破壞性，不能被歸類為惡意軟體，但其可疑性足以被視為潛在有害程式（PUP）。這種軟體很難檢測，因為它通常滿足使用者期望的功能（例如傳送訊息）。研究人員檢測到它的時機取決於它產生的影響。Talos最終發現了幾款潛在影響巨大的廣告系列軟體，他們認為灰色軟體有可能降低使用者使用這些應用程式的隱私和安全性，其研究表明，其中一些應用程式將資料傳送回主機伺服器，或者以某種方式從位於伊朗的IP地址進行控制，即使這些裝置位於國外也是如此。

雖然建立虛假登入頁面技術本身並不先進，但它們足以誘使不懂網路安全的使用者掉入陷阱，比如伊朗間諜組織“Charming Kitten”針對訊息應用程式熱衷於使用這個技術。部分攻擊者則劫持BGP協議，它會重定向所有路由器的流量，而無需考慮裝置的原始路由。為了劫持BGP，需要雨網際網路服務提供商（ISP）進行某種合作，而且這種合作很容易被察覺，所以重定向的新路線不會存在過久。

思科暫時還沒有在觀察到的多次活動中找到確切的聯絡，但活動明顯的共性是它們都針對伊朗使用者和他們所使用的應用程式。儘管文內所提的活動僅針對伊朗，但其實這些技術可以威脅任何國家使用者的應用程式安全性，這種情況在伊朗和俄羅斯尤其突出，因為惡意程式開發者會在官方及非官方應用商店中複製應用程式，（所以）這些國家禁用Telegram這樣的應用。

普通使用者對BGP劫持無能為力，但是使用來自官方應用程式儲存的合法應用程式可以降低風險。同樣的規則也適用於克隆的應用程式，從不可信的來源安裝應用程式意味著使用者必須意識到一定程度的風險。在這兩種情況下，如果應用程式是非官方的“增強功能”應用程式，即使它們在官方的谷歌Play商店中可用，這種風險也會大大增加。