TeleRAT ist der Name des neuesten Android-Trojaners, der von den Forschern in Palo Alto Networks entdeckt wurde. Der Trojan ist entworfen, um Telegramm Bietet API für die Kommunikation mit seinem Befehls- und Steuerserver mit dem Zweck der exfiltrating Daten zu verwenden,.
Die Malware wird in Iran erstellt werden, oder zumindest gezielt Personen aus diesem Land. Es gibt durchaus ein paar Ähnlichkeiten die Forscher fanden heraus, zwischen TeleRAT und IRRAT Trojan, die missbrauche auch Telegramm des Bots API für seine Kommunikation.
Basierend auf früheren Berichten, es ist bekannt, dass Telegramm des Bot-API wurde bereits wie SMS ernten Informationen verwendet werden, Anrufliste und Dateilisten von gezielten Android-Geräten.
Die Mehrheit der Anwendungen wir sahen sich als App verschleiern, die Ihnen sagt, wie viele Ansichten Ihr Telegramm Profil erhalten - unnötig zu sagen,, die zur Verfügung gestellten Informationen ungenau als Telegramm nicht erlaubt diese Informationen bevöl, schrieben die Forscher in ihren Bericht.
Wie funktioniert TeleRAT Funktion?
Der Trojaner erstellt und füllt dann mehrere Dateien auf der SD-Karte des Geräts, und später sendet sie an den Upload-Server. Dies ist die Liste der Dateien:
– "[IMEI] numbers.txt“: Kontakt Informationen
– "[IMEI]acc.txt“: Liste der Google-Konten auf dem Handy registriert
– "[IMEI]sms.txt“: SMS Geschichte
– 1.jpg: Gemachtes Bild mit der nach vorn gerichteten Kamera
– Bild.jpg: Gemachtes Bild zurück gerichtete Kamera
Sobald dies geschehen ist, der Trojaner meldet zurück an das Telegramm-Bot mit Hilfe einer Bake.
Wie haben Forscher finden TeleRAT? Zwar gehen durch IRRAT Proben, Das Team entdeckte eine andere Familie von Android RATs, die aus dem Iran stamm zu sein schien. Nicht nur, dass das Stück verwendet das Telegramm API für die Steuerung Kommunikation aber auch gestohlene Informationen exfiltrated.
Kurz gesagt, TeleRAT ist höchstwahrscheinlich ein Upgrade von IRRAT, da es die Möglichkeit, netzwerkbasierte Erkennung eliminiert basieren in der Regel auf dem Verkehr zu bekannten Upload-Server.
"Abgesehen von zusätzlichen Befehlen, Dieses Hauptunterscheidungsmerkmal der neuen Familie IRRAT ist, dass es auch Uploads sendDocument API-Daten unter Verwendung von Telegramm Methode exfiltrated", Palo Alto Bericht sagt.
Außerdem, der Trojaner kann auf zwei Arten aktualisiert werden - durch die getUpdates Methode, die die Geschichte aller Befehle senden, um den Bot enthüllt, und durch die Verwendung eines Webhook.
In Bezug auf die Vertriebstechniken nutzen, der Trojaner verwendet „scheinbar legitime Anwendungen von Drittanbietern Android App Stores“. Nach Infektion Statistiken zur Verfügung gestellt von Palo Alto, 2,293 Anwender wurden von dieser Malware betroffen, mit 82 Prozent der Opfer iranische Telefonnummern.