TeleRAT is de naam van de nieuwste Android Trojaans paard dat werd ontdekt door onderzoekers van Palo Alto Networks. De Trojan is ontworpen om Telegram Bot API gebruiken voor communicatie met de command and control-server met het doel van exfiltrating data.
De malware lijkt te worden gemaakt in Iran, of ten minste gericht mensen uit dat land. Er zijn nogal wat gelijkenissen de onderzoekers gevonden tussen TeleRAT en IRRAT Trojan, die ook misbruikte Telegram's bot API voor zijn communicatie.
Op basis van eerdere rapporten, Het is bekend dat telegram Bot API reeds werd gebruikt om informatie te oogsten zoals SMS, belgeschiedenis en bestand lijsten van gerichte Android-apparaten.
Het merendeel van de apps die we zagen vermommen zich als een app die je vertelt hoeveel weergaven je Telegram profiel ontvangen - onnodig te zeggen, de verstrekte informatie onnauwkeurig is als Telegram staat niet toe dat voor het vullen van dergelijke informatie, schreven de onderzoekers in hun rapport.
Hoe werkt TeleRAT Functie?
Het Trojaanse paard creëert en vervolgens vult een aantal bestanden op het apparaat SD-kaart, en later stuurt ze naar de upload server. Dit is de lijst van bestanden:
– "[IMEI] numbers.txt”: Contactgegevens
– "[IMEI]acc.txt”: Lijst van Google-accounts geregistreerd op de telefoon
– "[IMEI]sms.txt”: SMS geschiedenis
– 1.jpg: Foto genomen met de camera aan de voorzijde
– Afbeelding.jpg: Foto genomen met een back-gerichte camera
Zodra dit is gebeurd, de Trojaanse rapporteert terug naar de Telegram bot met de hulp van een baken.
Hoe heeft onderzoekers vinden TeleRAT? Terwijl er door IRRAT monsters, ontdekte het team een andere familie van Android ratten die leek te zijn afkomstig uit Iran. Niet alleen heeft het stuk gebruik maken van de Telegram API voor command and control communicatie, maar ook exfiltrated gestolen informatie.
Kort gezegd, TeleRAT is het meest waarschijnlijk een upgrade van IRRAT omdat het de mogelijkheid van een netwerk gebaseerde detectie typisch gebaseerd op het verkeer naar bekende upload servers elimineert.
"Afgezien van extra opdrachten, belangrijkste onderscheidende factor van deze nieuwe familie te IRRAT is dat het ook upload exfiltrated gegevens met behulp van Telegram's sendDocument API-methode", verslag van Palo Alto zegt.
Bovendien, de Trojan kan worden bijgewerkt op twee manieren - door de getUpdates methode die de geschiedenis van alle commando's blijkt te sturen naar de bot, en door gebruikmaking van een webhook.
Met betrekking tot de distributie technieken gebruikt het, de Trojan is het gebruik van “ogenschijnlijk legitieme applicaties van derden Android app stores“. Volgens de infectie statistieken van Palo Alto, 2,293 gebruikers werd getroffen door deze malware, met 82 procent van de slachtoffers hebben Iraanse telefoonnummers.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: