Oparte na Telegram HeroRat atakuje użytkowników Androida

Computer Security News

Eksperci bezpieczeństwa ESET mają znaleźć nowy szczep Android RAT, o nazwie HeroRat, która używa protokołu Telegram do dowodzenia i kontroli i kradzież danych użytkowników.

Po TeleRAT i IRRAT, Android użytkowników został zaatakowany przez nowe HeroRat które zostało około od o co najmniej sierpnia 2017. W marca 2018 kod źródłowy HeroRat został wydany za darmo Telegram hacking kanałów, pozwalając hakerzy opracowania nowych wariantów szkodliwego oprogramowania.

Jeszcze, HeroRat wydaje się być raczej różni się od innych wariantów, które pożyczył kod źródłowy. HeroRat jest pierwszy Telegram oparty malware opracowany od podstaw w języku C# za pomocą ramach Xamarin, podczas poprzednich te zostały napisane w języku Java.

Nowych RAT używa biblioteki Telesharp, aby utworzyć botach Telegram z C#.

“Jednym z tych wariantów różni się od reszty – pomimo kod źródłowy swobodnie dostępne, to jest oferowany do sprzedaży na specjalnym kanale Telegram, sprzedawanych pod nazwą HeroRat.” ESET analizy państwa.

“jest dostępny w 3 wersjach cenowych według funkcji i pochodzi z kanałem wideo pomocy technicznej. Nie wiadomo czy ten wariant został utworzony z kodu źródłowego przeciekły, lub jeśli jest to “oryginał”, których kod źródłowy był przeciekły.”

HeroRat jest dystrybuowane za pośrednictwem różnych kanałów, zwykle za pośrednictwem firm, sklepów w przebraniu mediów społecznościowych i aplikacji do obsługi wiadomości.

Największą liczbę infekcji został zarejestrowany w Iranie, gdzie oferowane są złośliwe aplikacje, obiecujących Darmowe bitcoins, bezpłatne łącze internetowe i inne zwolenników w mediach społecznościowych.

Analizowane przez ESET, pokazuje dziwne zachowanie. Instalowany na urządzeniu użytkownika, malware wyświetla małe pop-up, twierdząc, że aplikacja nie można uruchomić na urządzeniu i z tego powodu, zostaną odinstalowane.

Tak szybko, jak aplikacja jest usunięty, jego ikona również znika, jednak urządzenie pozostaje pod kontrolą hakera.

Za pomocą funkcji bota Telegram do sterowania zainfekowanego urządzenia, złośliwe oprogramowanie jest w stanie wykonać szeroki zakres poleceń, takich jak dane exfiltration i audio/ nagrywanie wideo.

“Malware ma szeroki wachlarz możliwości exfiltration szpiegostwo i plików, w tym Przechwytywanie wiadomości tekstowych i kontakty, wiadomości tekstowych i połączeń, audio i ekran nagrywania, uzyskania lokalizacji urządzenia i sterowanie urządzeniem Ustawienia.” Analiza odczytuje.

Kod źródłowy HeroRat jest oferowany do sprzedaży do 650 USD, a jego autorzy oferuje trzy pakiety złośliwego oprogramowania w zależności od funkcjonalności zaimplementowane – brązowy, srebrny i złoty, które kosztowało odpowiednio 25, 50 i 100 USD.

Możliwości HeroRat są dostępne w formie klikalnych przycisków w interfejsie bot Telegram. Naciskając przyciski dostępne w wersji malware, które działają, hakerzy można kontrolować wszystkie zarażone urządzenia.


Leave a Reply

Your email address will not be published. Required fields are marked *