TeleRAT è il nome dei più recenti Trojan Android che è stato scoperto da ricercatori presso Palo Alto Networks. Il Trojan è progettato per utilizzare telegramma Bot API per la comunicazione con il proprio server di comando e controllo con lo scopo di dati exfiltrating.
Il malware sembra essere creato in Iran, o è almeno mira persone provenienti da quel paese. Ci sono alcune somiglianze i ricercatori hanno trovato tra le TeleRAT e IRRAT Trojan, che è stato anche abusando API bot del Telegramma per le sue comunicazioni.
Sulla base delle relazioni precedenti, è noto che Bot API telegramma era già utilizzato per raccogliere informazioni come SMS, chiamare storia e dei file in lista da dispositivi Android mirati.
La maggior parte delle applicazioni che abbiamo visto si travestono da un app che ti dice quante visualizzazioni del profilo telegramma ricevuto - inutile dire, le informazioni fornite sono inesatte come Telegramma non consente per la compilazione di tali informazioni, i ricercatori hanno scritto nel loro rapporto.
Come funziona TeleRAT Funzione?
Il Trojan crea e quindi popola diversi file su scheda SD del dispositivo, e poi li invia al server di upload. Questa è la lista dei file:
– "[IMEI] numbers.txt”: Informazioni sui contatti
– "[IMEI]acc.txt”: Elenco di Google account registrati sul telefono
– "[IMEI]sms.txt”: la storia SMS
– 1.jpg: Foto scattata con la fotocamera frontale
– Immagine.jpg: Foto scattata con la fotocamera posteriore-rivestimento
Una volta fatto questo, il Trojan riporta indietro al bot telegramma con l'aiuto di un faro.
Come hanno fatto i ricercatori a trovare TeleRAT? Mentre passa attraverso campioni IRRAT, il team ha scoperto un'altra famiglia di ratti Android che sembrava essere originari dall'Iran. Non solo ha usato il pezzo l'API Telegramma per le comunicazioni di comando e controllo, ma anche fatti riparare informazioni rubate.
Poco detto, TeleRAT è più probabile un aggiornamento da IRRAT in quanto elimina la possibilità di rilevamento basato sulla rete in genere in base al traffico ai server di upload noti.
"Oltre a comandi aggiuntivi, differenziatore principale di questa nuova famiglia di IRRAT è che anche arrivi fatti riparare i dati utilizzando il metodo API sendDocument di Telegram", rapporto di Palo Alto, dice.
In aggiunta, il Trojan può essere aggiornato in due modi - attraverso il metodo getupdates che rivela la storia di tutti i comandi di inviare al bot, e attraverso l'uso di un Webhook.
Per quanto riguarda le tecniche di distribuzione che utilizza, il Trojan sta usando “applicazioni apparentemente legittimi in di terze parti Android app store“. Secondo le statistiche di infezione forniti da Palo Alto, 2,293 gli utenti sono stati colpiti da questo malware, con 82 per cento delle vittime con un numero di telefono iraniani.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: