TeleRAT es el nombre de las últimas troyano para Android que fue descubierto por investigadores de Palo Alto Networks. El troyano está diseñado para utilizar la API Bot Telegrama para comunicarse con su servidor de comando y control con el fin de los datos exfiltrating.
El malware parece estar creado en Irán, o al menos se focalización individuos de ese país. Hay bastantes similitudes encontradas entre los investigadores y TeleRAT IRRAT de Troya, que también estaba abusando API bot de telegrama para sus comunicaciones.
Sobre la base de los informes anteriores, se sabe que la API Bot del telegrama ya estaba siendo utilizado para cosechar información como SMS, historial de llamadas y archivos listados de los dispositivos Android dirigidos.
La mayoría de las aplicaciones que vimos disfrazar a sí mismos como una aplicación que le indica cuántos puntos de vista de su perfil telegrama recibido - no hace falta decir, la información proporcionada es inexacta como Telegrama no permite poblar dicha información, escribieron los investigadores en su informe.
¿Cómo funciona la TeleRAT?
El troyano crea y luego se rellena varios archivos en la tarjeta SD del dispositivo, y luego los envía al servidor de carga. Esta es la lista de archivos:
– "[IMEI] numbers.txt”: Información del contacto
– "[IMEI]acc.txt”: Lista de cuentas de Google registradas en el teléfono
– "[IMEI]sms.txt”: historial de SMS
– 1.jpg: Foto tomada con la cámara de frente
– Image.jpg: Imagen tomada con la cámara de respaldo frente
Una vez hecho esto, el troyano informa al bot telegrama con la ayuda de un faro.
¿Cómo los investigadores a encontrar TeleRAT? Al ir a través de muestras IRRAT, el equipo descubrió otra familia de ratas Android que parecía ser originario de Irán. No sólo la pieza de utilizar la API de telegramas para las comunicaciones de comando y control, pero también exfiltraron información robada.
Poco dicho, TeleRAT es más probable una actualización de IRRAT ya que elimina la posibilidad de detección basado en la red por lo general en función del tráfico a los servidores de carga conocidos.
"Aparte de comandos adicionales, principal diferenciador de esta nueva familia de IRRAT es que también las subidas exfiltraron de datos utilizando el método API sendDocument del telegrama", El informe de Palo Alto dice.
Adicionalmente, el troyano puede actualizarse de dos maneras - a través del método getUpdates que revela la historia de todos los comandos de enviar al robot, y mediante el uso de un web hook.
En cuanto a las técnicas de distribución que utiliza, el troyano está utilizando “aplicaciones aparentemente legítimos de terceros Android tiendas de aplicaciones“. De acuerdo con las estadísticas proporcionadas por la infección de Palo Alto, 2,293 los usuarios se vieron afectados por este malware, con 82 por ciento de las víctimas con un número de teléfono iraníes.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: