TeleRAT est le nom des derniers cheval de Troie Android qui a été découvert par des chercheurs de Palo Alto Networks. Le cheval de Troie est conçu pour utiliser l'API de télégramme Bot pour communiquer avec son serveur de commandement et de contrôle dans le but de données exfiltration.
Le logiciel malveillant semble être créé en Iran, ou est au moins cibler des personnes de ce pays. Il y a assez peu de similitudes entre les chercheurs ont trouvé TeleRAT et IRRAT cheval de Troie, qui abusait aussi l'API bot de télégramme pour ses communications.
Sur la base des rapports précédents, il est connu que l'API Bot Télégramme a déjà été utilisé pour récolter des informations telles que SMS, appeler des listes d'histoire et de fichiers à partir de périphériques Android ciblés.
La plupart des applications que nous avons vu se déguiser en une application qui vous indique combien de vues votre profil télégramme reçu - inutile de dire, les informations fournies sont inexactes comme Telegram ne permet pas peuplant ces informations, les chercheurs ont écrit dans leur rapport.
Comment fonctionne TeleRAT Fonction?
Le cheval de Troie crée et renseigne ensuite plusieurs fichiers sur la carte SD de l'appareil, et les envoie ensuite au serveur de téléchargement. Voici la liste des fichiers:
– "[IMEI] numbers.txt »: Informations de contact
– "[IMEI]acc.txt »: Liste des comptes Google sur le téléphone
– "[IMEI]sms.txt »: Historique du SMS
– 1.jpg: Photo prise avec l'appareil photo de face
– Image.jpg: Photo prise avec la caméra face arrière
Une fois cela fait, les rapports de Troie retour au bot de télégramme avec l'aide d'une balise.
Comment les chercheurs à trouver TeleRAT? Tout en passant par des échantillons de IRRAT, l'équipe a découvert une autre famille de RAT Android qui semblait être originaire d'Iran. Non seulement la pièce utiliser l'API de télégramme pour les communications de commande et de contrôle mais aussi exfiltré informations volées.
Peu dit, TeleRAT est très probablement une mise à niveau IRRAT car il élimine la possibilité d'une détection basée sur le réseau en général en fonction du trafic vers des serveurs de téléchargement connus.
"En plus de commandes supplémentaires, ce nouveau facteur de différenciation principal de la famille à IRRAT est que aussi le chargement exfiltré données en utilisant la méthode API sendDocument de télégramme", Le rapport de Palo Alto dit.
En outre, le cheval de Troie peut être mis à jour de deux façons - par la méthode getUpdates qui révèle l'histoire de toutes les commandes envoyer au bot, et par l'utilisation d'un webhook.
En ce qui concerne les techniques de distribution qu'elle utilise, le cheval de Troie utilise «applications apparemment légitimes de tiers magasins d'applications Android“. Selon les statistiques d'infection fournies par Palo Alto, 2,293 les utilisateurs ont été touchés par ce malware, avec 82 pour cent des victimes ayant des numéros de téléphone iraniens.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: