حملات فیشینگ Tria Stealer برای سرقت اطلاعات پیام‌ها و ایمیل‌ها

Tria Stealer یک کمپین بدافزار اندرویدی است که از دعوت‌نامه‌های جعلی عروسی برای فریب کاربران و نصب یک فایل APK مخرب استفاده می‌کند. این حمله از اواسط سال ۲۰۲۴ فعال بوده و کاربران مالزی و برونئی را هدف قرار داده است.

🔹 بدافزار Tria Stealer اطلاعات حساس مانند پیام‌های متنی، تماس‌ها، ایمیل‌های Gmail و Outlook، و پیام‌های WhatsApp را جمع‌آوری می‌کند.
🔹 این اطلاعات از طریق بات‌های تلگرامی به مهاجمان ارسال شده و برای ربودن حساب‌های کاربری و فریب قربانیان برای انتقال پول مورد استفاده قرار می‌گیرد.
🔹 Kaspersky این بدافزار را با نام HEUR:Trojan-Spy.AndroidOS.Agent. شناسایی می‌کند.*

📌 روش آلوده‌سازی کاربران

✅ مهاجمان این بدافزار را از طریق پیام‌های شخصی و گروهی در تلگرام و واتساپ منتشر می‌کنند.
✅ پیام‌ها حاوی لینک دانلود یک APK مخرب هستند که به‌عنوان “دعوت‌نامه عروسی” نمایش داده می‌شود.
✅ پس از نصب، برنامه از قربانی مجوز خواندن پیام‌های SMS را درخواست کرده و اطلاعات حساب او را جمع‌آوری می‌کند.

📌 در نسخه‌های جدیدتر، بدافزار می‌تواند اعلانات پیام‌رسان‌ها را نیز رهگیری کند و به اطلاعات بیشتری دسترسی پیدا کند.

Overview of the Tria Stealer campaign

🛑 اهداف و نحوه سوءاستفاده از اطلاعات

📌 سرقت کدهای تأیید هویت (OTP و TAC) برای هک کردن حساب‌های واتساپ و تلگرام.
📌 ارسال بدافزار به مخاطبین قربانی و گسترش آلودگی.
📌 سوءاستفاده از حساب‌های هک‌شده برای فریب دوستان و درخواست پول از آن‌ها.
📌 دسترسی به حساب‌های ایمیل و سایر خدمات آنلاین قربانی برای انجام حملات گسترده‌تر.

Delivery through a compromised WhatsApp account (on the left) and through a compromised Telegram account (on the right)

🔎 نحوه عملکرد بدافزار

📌 پس از نصب، Tria Stealer اطلاعات زیر را جمع‌آوری کرده و به سرور مهاجم ارسال می‌کند:

شماره تلفن قربانی
مدل و برند دستگاه
پیام‌های دریافتی در SMS
پیام‌های واتساپ، جیمیل، و Outlook
لیست تماس‌ها و تماس‌های ورودی

📌 مهاجمان از چندین بات تلگرام برای دسته‌بندی و ارسال این داده‌ها استفاده می‌کنند.
📌 در نسخه‌های جدید، بدافزار می‌تواند پیام‌های دریافتی را از طریق اعلانات گوشی نیز رهگیری کند.