TeleRATは、パロアルトネットワークスの研究者によって発見された最新のAndroidトロイの木馬の名前です。. このトロイの木馬は、Telegram Bot APIを使用して、データを盗み出す目的でコマンドアンドコントロールサーバーと通信するように設計されています。.
マルウェアはイランで作成されたようです, または少なくともその国の個人をターゲットにしている. 研究者がTeleRATとIRRATトロイの木馬の間に見つけたかなりの数の類似点があります, TelegramのボットAPIを通信に悪用していました.
以前のレポートに基づく, TelegramのボットAPIは、SMSなどの情報を収集するためにすでに使用されていたことが知られています, 対象のAndroidデバイスからの通話履歴とファイルリスト.
私たちが見たアプリの大部分は、Telegramプロファイルが受信したビューの数を通知するアプリに変装しています-言うまでもありません, Telegramではそのような情報を入力できないため、提供される情報は不正確です。, 研究者は彼らに書いた 報告.
TeleRATはどのように機能しますか?
このトロイの木馬は、デバイスのSDカードにいくつかのファイルを作成して入力します, 後でアップロードサーバーに送信します. これはファイルのリストです:
– 「「[IMEI] numbers.txt」: 連絡先
– 「「[IMEI]acc.txt」: 電話に登録されているGoogleアカウントのリスト
– 「「[IMEI]sms.txt」: SMS履歴
– 1.jpg: 正面カメラで撮影した写真
– Image.jpg: 後ろ向きカメラで撮影した写真
これが行われると, トロイの木馬は、ビーコンの助けを借りてテレグラムボットに報告します.
研究者はどのようにしてTeleRATを見つけましたか? IRRATサンプルを通過している間, チームは、イランから発信されたように見えるAndroidRATの別のファミリーを発見しました. この作品は、コマンドアンドコントロール通信にTelegram APIを使用しただけでなく、盗まれた情報を盗み出しました。.
すぐに言った, TeleRATは、通常、既知のアップロードサーバーへのトラフィックに基づくネットワークベースの検出の可能性を排除するため、IRRATからのアップグレードである可能性があります。.
「「追加のコマンドは別として, この新しいファミリのIRRATとの主な差別化要因は、TelegramのsendDocumentAPIメソッドを使用して抽出されたデータもアップロードすることです。」, パロアルトのレポートによると.
加えて, トロイの木馬は、2つの方法で更新できます。ボットに送信されたすべてのコマンドの履歴を明らかにするgetUpdatesメソッドを使用します。, Webhookを使用して.
それが使用する配布技術に関しては, トロイの木馬は「サードパーティのAndroidアプリストアにある一見正当なアプリケーション“. パロアルトが提供する感染統計によると, 2,293 ユーザーはこのマルウェアに見舞われました, と 82 イランの電話番号を持っている犠牲者の割合.
ミレーナ・ディミトロワ
プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする
フォローしてください: