HeroRat er den nyeste Trojan trussel, som ser ud til at bruge telegrammet protokoller med henblik på at etablere en sikker forbindelse til hacker-kontrollerede servere. Opdagelsen blev gjort på grund af sin offentlige kildekode udgivelse på de underjordiske hacking netværk. Det betragtes som en meget farlig instans, der kan bruges til at skabe yderligere afkom versioner.
Telegram protokoller anvendt i in HeroRat Trojan Leveringsmetode
Sikkerheden samfund rapporterede opdagelsen af den HeroRat Trojan. Koden analyse afslører, at det bruger telegrammet protokoller med henblik på at etablere en sikker forbindelse med hacker-servere. Dens kode blev for nylig offentliggjort i de underjordiske hacker markeder, som har tilladt eksperter til at analysere det i detaljer.
Rapporterne viser, at virussen kan have været anvendt i angreb siden august 2017. Koden analyse viser, at det er blevet skrevet fra bunden i C # ved hjælp af den populære Xamarin rammer. Til sammenligning tidligere blev skrevet i Java. I øjeblikket sin kode er stadig tilgængelig på køb både i sin “vanilje” danne eller i tilpassede versioner, der kan tilpasses i henhold til behovene i de kunder.
Den aktuelle angreb kampagne er målrettet mod enheder i Iran - hackerne er afsendelse af beskeder, der indeholder social engineering tricks lovende gratis Bitcoins, tilhængere på sociale medier og internetforbindelse til brugerne. I øjeblikket Android-brugere er målrettet. Når APK installationsfiler startes de vil bede om følgende tilladelser, der skal ydes:
- Slette alle data - Slet telefonens data uden varsel ved at udføre en nulstilling af fabriksdata.
- Skift skærm adgangskode til oplåsning - Skift skærmen adgangskode til oplåsning.
- Indstil regler for adgangskode - Styr længden og de tegn tilladt i oplåsning af skærm adgangskoder.
- Overvåg skærm-låse forsøg - Overvåg antallet af forkerte adgangskoder indtastet. ved oplåsning af skærmen, og låse telefonen, eller slet alle telefonens data, hvis for mange forkerte adgangskoder indtastet.
- Lås skærmen - Kontrol, hvordan og hvornår skærmen låses.
HeroRat Trojan Bruger telegram protokoller under udførelsen
Når HeroRat trojanske er installeret på målet Android-enheder, det vil vise en pop op-meddelelse advare at det ikke kan køre på enheden. Dette er en falsk meddelelse, der simulerer en deraf følgende afinstallation. Men samtidig infektionerne rapporteres til hacker-kontrollerede servere. De tilfangetagne stammer kan producere en besked enten på engelsk eller persisk (Farsi).
Forbindelsen gør det muligt for hackere at bruge en sikker forbindelse og udnytte Telegram s bot-funktionalitet. Regulatorerne har mulighed for at bruge forskellige muligheder, alle udføre kommandoer på de inficerede værter. En delvis liste viser følgende handlinger:
- Sæt navn
- Slå Telefon
- Genstart Telefon
- Start Voice Record
- Stop Lydoptagelse
- Egenskaber
- Smsses
- Kontakter
- Bind
- lysstyrke
- Afinstaller App
- Send SMS fra dette
- Beliggenhed
- Installerede apps
- Afspil stemme
- Vis besked
- File Explorer
- opkald
- Kamera
- screenshot
- Baggrund
- Installer plugin
- opdater info
- Nulstil Factory
De indsamlede oplysninger viser, at HeroRat trojanske praktisk giver adgang til alt indhold, der er lagret på enhederne. Derudover kan den bruges til at implementere yderligere trusler, udspionere ofrene i realtid og overhale kontrol af enhederne på et givet tidspunkt. De opsamlede data kan anvendes til finansielle misbrug eller identitetstyveri. Dens underskrifter bliver tilføjet til mobile sikkerhedsløsninger, som er årsagen til at vi anbefaler, at alle Android-brugere bruge en kvalitet løsning til at beskytte sig selv mod infektion.
Martin Beltov
Martin dimitterede med en grad i Publishing fra Sofia Universitet. Som en cybersikkerhed entusiast han nyder at skrive om de nyeste trusler og mekanismer indbrud.
Følg mig: