TeleRAT é o nome da mais recente Trojan Android que foi descoberto por pesquisadores da Palo Alto Networks. O Trojan é projetado para usar Telegram Bot API para a comunicação com o servidor de comando e controle com o objetivo de dados exfiltrating.
O malware parece ser criados no Irã, ou é, pelo menos, alvo indivíduos daquele país. Há algumas semelhanças entre os pesquisadores descobriram TeleRAT e IRRAT Trojan, que também estava abusando API bot do telegrama para as suas comunicações.
Com base em relatórios anteriores, sabe-se que Bot API do Telegram já estava sendo usado para coletar informações, tais como SMS, histórico de chamadas e de arquivo imóveis de dispositivos Android alvo.
A maioria dos aplicativos que vimos se disfarçam como um aplicativo que informa quantas visualizações o seu perfil telegrama recebido - escusado será dizer, a informação fornecida é imprecisa como Telegrama não permite preencher qualquer informação, escreveram os pesquisadores em seu relatório.
Como função faz TeleRAT?
O Trojan cria e, em seguida, preenche vários arquivos no cartão SD do dispositivo, e depois os envia para o servidor de envio. Esta é a lista de arquivos:
– “[IMEI] numbers.txt”: Informações de contato
– “[IMEI]acc.txt”: Lista de Contas do Google registradas no telefone
– “[IMEI]sms.txt”: história SMS
– 1.jpg: Foto tirada com a câmera frontal
– Image.jpg: Foto tirada com a câmera virada para trás
Uma vez feito isso, os relatórios de Tróia voltar para o bot Telegram com a ajuda de um farol.
Como os pesquisadores a encontrar TeleRAT? Ao atravessar amostras IRRAT, a equipe descobriu uma outra família de ratos Android que parecia ser originário do Irã. Não só a peça usar a API Telegram para comunicações de comando e controle, mas também exfiltrated informações roubadas.
disse brevemente, TeleRAT é mais provável que uma atualização do IRRAT uma vez que elimina a possibilidade de detecção baseada em rede normalmente com base no tráfego para os servidores de upload conhecidos.
“Além de comandos adicionais, principal diferencial desta nova família para IRRAT é que ele também carrega dados exfiltrated usando o método API sendDocument do Telegram”, O relatório da Palo Alto diz.
além do que, além do mais, o cavalo de Tróia pode ser atualizado de duas maneiras - através do método getUpdates que revela a história de todos os comandos enviar para o bot, e através da utilização de um webhook.
Quanto às técnicas de distribuição que utiliza, o cavalo de Tróia está usando “aplicativos aparentemente legítimos de terceiros Android lojas de aplicativos“. De acordo com estatísticas de infecção fornecidos pelo Palo Alto, 2,293 usuários foram atingidos por este malware, com 82 por cento das vítimas ter números de telefone iranianos.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: