TeleRAT er navnet på den nyeste Android trojansk hest, der blev opdaget af forskere på Palo Alto Networks. Den trojanske er designet til at bruge Telegram Bot API til kommunikation med sin kommando og kontrol-server med det formål at exfiltrating data.
Den malware synes at være skabt i Iran, eller er i det mindste rettet mod enkeltpersoner fra dette land. Der er en hel del ligheder forskerne fundet mellem TeleRAT og IRRAT Trojan, der også misbrugte Telegram s bot API til sine meddelelser.
Baseret på tidligere rapporter, Det er kendt, at Telegram s Bot API allerede blev brugt til at høste oplysninger såsom SMS, ringe historie og fil fortegnelser fra målrettede Android-enheder.
De fleste af de apps, vi så forklæde sig som en app, der fortæller dig, hvor mange visninger din Telegram profil modtaget - naturligvis, oplysningerne er upræcis, da Telegram ikke tillader udfylde sådanne oplysninger, forskerne skrev i deres rapport.
Hvordan virker TeleRAT Funktion?
Den trojanske skaber og derefter udfylder flere filer på enhedens SD-kort, og senere sender dem til upload-serveren. Dette er listen over filer:
– "[IMEI] numbers.txt”: Kontakt information
– "[IMEI]acc.txt”: Liste over Google konti registreret på telefonen
– "[IMEI]sms.txt”: SMS historie
– 1.jpg: Billede taget med fremadvendte kamera
– Image.jpg: Billede taget med back-vender kameraet
Når dette er gjort, den trojanske rapporterer tilbage til Telegram bot ved hjælp af et fyrtårn.
Hvordan fandt forskerne finde TeleRAT? Mens går gennem IRRAT prøver, holdet opdaget en anden familie af Android rotter, der syntes at være stammer fra Iran. Ikke alene har det stykke bruge telegram API til kommando og kontrol kommunikation, men det også exfiltrated stjålne oplysninger.
Kort sagt, TeleRAT er mest sandsynligt en opgradering fra IRRAT da det fjerner muligheden for netværksbaseret detektering typisk baseret på trafik til kendte upload servere.
"Bortset fra yderligere kommandoer, denne nye familie vigtigste differentiator til IRRAT er, at det også uploads exfiltrated data ved hjælp af Telegram s sendDocument API metode", Palo Alto rapport siger.
Desuden, den trojanske kan opdateres på to måder - gennem getUpdates metode, der afslører historien om alle de kommandoer, sende til bot, og ved anvendelse af en Webhook.
Med hensyn til distributionsteknikker den anvender, den trojanske bruger ”tilsyneladende legitime applikationer i tredjeparts Android app stores“. Ifølge infektion statistikker fra Palo Alto, 2,293 Brugerne blev ramt af denne malware, med 82 procent af ofrene har iranske telefonnumre.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: