TeleRAT Android Trojan używa Telegram do Exfiltrate danych

Computer Security News

Eksperci firmy Palo Alto Networks znaleziono nowy Android trojana o nazwie TeleRAT. Trojan wykorzystuje Telegram Bot API nieprawidłowemu filtrowaniu danych, polecenia i kontroli (C & C) serwera komunikacji.

TeleRAT trojan ma pochodzić z Iranu i atakuje głównie irańskim użytkowników. Według naukowców, istnieją pewne podobieństwa między TeleRAT i innym Android trojan o nazwie IRRAT, który także wykorzystuje Telegram bot API dla C & C komunikacji.

“Botach telegram to specjalne konta, które nie wymagają dodatkowego numeru do instalacji i są powszechnie stosowane, aby wzbogacić czaty Telegram o treści z usług zewnętrznych lub uzyskać niestandardowe powiadomienia i wiadomości.” odczytuje analizy opublikowane przez PaloAlto sieci.

IRRAT trojan mogą wykraść informacje kontaktowe, lista kont Google, zarejestrowany na urządzeniach, a SMS historia. Złośliwe oprogramowanie może również robić zdjęcia aparatami przednim i tylnym.

Skradzione dane jest trzymany na serię plików na karcie SD w telefonie i wysyłane na serwer upload po tym. Tymczasem IRRAT trojan raporty do bota Telegram, ukrywa jego ikonę w menu aplikacji telefonu i działa w tle, czeka na kolejne polecenia.

TeleRAT trojan działa w inny sposób. Tworzy dwa pliki na urządzeniu, telerat2.txt, który zawiera informacje o urządzeniu (tj. numer wersji bootloadera systemu, dostępnej pamięci i liczba rdzeni procesora) i thisapk_slm.txt, zawierające Telegram kanału i listę poleceń.

Gdy instalowany w systemie, złośliwy kod natychmiast informuje hakerów na to wysyłając wiadomość do bota Telegram przez bota Telegram API z bieżącej daty i godziny. W tym samym czasie trojan działa usługa w tle, który wykrywa zmiany wprowadzone do schowka, a następnie, aplikacja pobiera aktualizacje z Telegram bot API na sekundę 4.6 nasłuchiwanie kilka poleceń, napisane w języku perskim.

TeleRAT jest w stanie odbierać polecenia, kontaktów, lokalizacji, lista aplikacji lub zawartości Schowka; otrzymywanie informacji ładowania; uzyskać listę plików lub głównego pliku listy; Pobieranie plików, tworzenie kontaktów, ustawiona tapeta, otrzymują lub Wyślij SMS; Robienie zdjęć; lub odbierzesz połączenia; Zmień telefon na ciche lub głośne; Wyłącz ekran telefonu; Usuń aplikacje; spowodować wibracje; i kradną Zdjęcia z galerii.

Dodatkowo TeleRAT malware jest zdolny do przesyłania danych exfiltrated metodą Telegram na sendDocument interfejsu API w celu wykrycia oparte na sieci.

Trojan może otrzymywać aktualizacje na dwa sposoby – Metoda getUpdates, (który przedstawia historię wszystkich, które polecenia wysyłane do bota, w tym nazwy użytkowników poleceń pochodzi od) i użycie Webhook (bot, które aktualizacje mogą być przekierowywane do adresu URL HTTPS określona za pomocą środków z Webhook).

TeleRAT jest rozpowszechniany przez pozornie uzasadnionych wniosków, w trzeciej Android app Store, a także poprzez kanały Telegram irański zarówno legalnych, jak i nikczemny. Według sieci PaloAlto, w sumie 2 293 użytkowników już został zainfekowany, najbardziej z nich o numery telefonów irański.


Leave a Reply

Your email address will not be published. Required fields are marked *