HeroRat est la nouvelle menace de Troie qui semble utiliser les protocoles de télégramme afin de mettre en place une connexion sécurisée aux serveurs contrôlés hacker. La découverte a été faite en raison de sa sortie de code source public sur les réseaux de piratage souterrains. Il est considéré comme une instance très dangereuse qui peut être utilisé pour créer de nouvelles versions de progéniture.
Protocoles télégramme utilisé dans des HeroRat Trojan Livraison Méthode
La communauté de sécurité a signalé la découverte du cheval de Troie du HeroRat. L'analyse de code révèle qu'il utilise les protocoles de télégramme afin d'établir une connexion sécurisée avec les serveurs pirates. Son code a été récemment rendu public dans les marchés des pirates informatiques souterraines qui a permis aux experts d'analyser en détail.
Les rapports indiquent que le virus peut avoir été utilisé dans des attaques depuis Août 2017. L'analyse de code montre qu'il a été écrit à partir de zéro en C # en utilisant le cadre Xamarin populaire. En comparaison précédente ont été écrites en Java. À l'heure actuelle son code est toujours disponible à l'achat à la fois dans son “vanille” former ou dans des versions personnalisées qui peuvent être personnalisés en fonction des besoins des clients.
La campagne d'attaque actuelle cible les appareils en Iran - les pirates envoient des messages contenant des astuces d'ingénierie sociale prometteurs Bitcoins libres, adeptes sur les médias sociaux et d'une connexion Internet aux utilisateurs. À l'heure actuelle les utilisateurs Android sont ciblés. Une fois les fichiers d'installation APK sont mis en marche, ils vont demander les autorisations suivantes à accorder:
- Effacer toutes les données - Effacez sans avertissement en effectuant une remise à zéro des données d'usine de données du téléphone.
- Changer le mot de passe déverrouillage de l'écran - Changer le mot de passe déverrouillage de l'écran.
- Définissez les règles de mot de passe - Contrôler la longueur et les caractères autorisés dans les mots de passe de déverrouillage de l'écran.
- Surveiller les tentatives déverrouillage de l'écran - Surveiller le nombre de mots de passe incorrect est saisi. lors du déverrouillage de l'écran, et verrouiller le téléphone ou d'effacer toutes les données du téléphone si trop de mots de passe incorrects sont tapés.
- Verrouiller l'écran - Contrôle comment et quand l'écran se verrouille.
HeroRat cheval de Troie utilise des protocoles de télégramme pendant l'exécution
Une fois que le cheval de Troie HeroRat est installé sur la cible les appareils Android, il affiche un message pop-up d'alerte qu'il ne peut pas fonctionner sur l'appareil. Ceci est un faux message qui simule une conséquence désinstallation. Cependant en même temps sont signalées les infections aux serveurs contrôlés hacker. Les souches capturées peuvent produire un message en anglais ou en persan (Persan).
La connexion permet aux pirates d'utiliser une connexion sécurisée et tirer parti de la fonctionnalité de bot de télégramme. Les contrôleurs ont la capacité d'utiliser les différentes options que tous les exécutent des commandes hôtes infectés. Une liste partielle montre les actions suivantes:
- Définir le nom
- Désactiver téléphone
- Redémarrer le téléphone
- Début de l'enregistrement vocal
- Stop Voice Recording
- Propriétés
- Smsses
- Contacts
- Le volume
- Luminosité
- Désinstaller App
- Envoyer un SMS à partir de cette
- La Location
- applications installées
- Ecouter la voix
- Voir le message
- Explorateur de fichiers
- Appels
- Appareil photo
- Capture d'écran
- Fond d'écran
- Installer le plugin
- Information sur la mise à jour
- Usine de réinitialisation
Les informations recueillies montrent que le cheval de Troie HeroRat permet pratiquement l'accès à tous les contenus stockés sur les périphériques. En outre, il peut être utilisé pour déployer des menaces supplémentaires, espionner les victimes en temps réel et dépasser le contrôle des appareils à tout moment. Les données recueillies peuvent être utilisées pour l'abus financier ou vol d'identité. Ses signatures sont ajoutées à des solutions de sécurité mobile qui est la raison pour laquelle nous recommandons que tous les utilisateurs d'Android utilisent une solution de qualité pour se prémunir contre l'infection.