محققان امنیتی از شرکت دکتر وب یک تروجان اندرویدی را شناسایی کرده اند که مهاجمان سایبری برای مدیریت آن از پروتکل تلگرام استفاده می کنند. این تروجان می تواند اطلاعات حساس قربانیان را به سرقت برده و کدهای دلخواه مهاجم را روی سامانه قربانی اجرا کند. این تروجان Android.Spy،377.origin نام داشته و یک ابزار مدیریتی راه دور (RAT) است که در قالب برنامه های بی خطر توزیع می شود. این بدافزار کاربران ایرانی را هدف قرار داده است. این تروجان می تواند روی تلفن های هوشمند و تبلت های قربانیان با عنوان برنامه هایی مانند «اینستا پلاس»، «پروفایل چکر» و «کلینر پرو» نصب شود. این بدافزار پس از اجراشدن، به کاربر پیشنهاد می دهد تا محبوبیت مالک دستگاه را در بین سایر کاربران تلگرام بررسی کند. برای اجرای این کار، بدافزار از قربانی شناسه های خصوصی او را درخواست می کند. پس از اینکه قربانی اطلاعات درخواستی را در اختیار مهاجمان قرار می دهد، بدافزار Android.Spy.377.origin تعداد بازدیدها از پروفایل کاربر را نمایش می دهد. کمی پس از اجرای این عملیات، بدافزار آیکون میان بر خود را از صفحه خانگی حذف می کند تا عملیات مخرب خود را مخفی کند. این بدافزار یک جاسوس افزار کلاسیک است که می تواند دستورات موردنظر مهاجمان سایبری را اجرا کند. یکی از تفاوت هایی که این بدافزار با سایر تروجان های اندرویدی دارد، نحو ه کنترل آن به وسیله مهاجمان سایبری است. مهاجمان برای کنترل این بدافزار از پروتکل تبادل پیام در پیام رسان برخط تلگرام استفاده می کنند. این اولین تروجان اندرویدی است که از پروتکل تلگرام استفاده می کند. این تروجان پس از حذف پرونده میان بر، اطلاعاتی را از فهرست مخاطبان، پیام های کوتاه دریافتی و ارسالی و داده های حساب های گوگل رونویسی می کند. در ادامه این داده ها در دایرکتور خود بدافزار اجرا می شود و آنها را در داخل یک پرونده متنی ذخیره می کند. علاوه بر اینها، تروجان با استفاده از دوربین جلویی دستگاه، از چهره مالک دستگاه عکس می گیرد. درنهایت نیز این تصویر و پرونده اطلاعات را روی کارگزار دستور و کنترل بارگذاری می کند و یک سیگنال به بات تلگرام نیز ارسال می شود تا نشان دهد دستگاه با موفقیت آلوده شده است.