Dựa trên bức điện HeroRat cuộc tấn công người dùng Android

Computer Security News

Chuyên gia bảo mật ESET đã tìm thấy một chủng mới của Android RAT, được gọi là HeroRat, mà sử dụng giao thức điện tín lệnh và kiểm soát và ăn cắp dữ liệu của người dùng.

Sau khi TeleRAT và IRRAT, người dùng Android đã bị tấn công bởi các mới HeroRat đã được xung quanh kể từ lúc ít nhất tám năm 2017. Vào tháng 3 năm 2018, mã nguồn của HeroRat đã được phát hành miễn phí trên Telegram hacking kênh cho phép hacker phát triển các phiên bản mới của phần mềm độc hại.

Được nêu ra, HeroRat có vẻ khá khác nhau từ các phiên bản khác mà mượn mã nguồn. HeroRat phần mềm độc hại dựa trên bức điện đầu tiên được phát triển từ đầu trong C# sử dụng khuôn khổ Xamarin, trong khi trước đây những người đã được viết bằng Java.

CHUỘT mới sử dụng thư viện Telesharp để tạo ra các chương trình điện tín với C#.

“Một trong những biến thể khác nhau từ phần còn lại-mặc dù có mã nguồn sẵn sàng tự do, nó được cung cấp để bán trên một kênh Telegram chuyên dụng, đưa ra thị trường dưới tên HeroRat.” ESET cho kỳ phân tích.

“nó có sẵn trong ba mô hình đặt giá theo chức năng và đi kèm với một kênh video hỗ trợ. Đó là chưa rõ ràng cho dù phiên bản này được tạo ra từ mã nguồn bị rò rỉ, hoặc nếu nó là “bản gốc” mã nguồn mà đã bị rò rỉ.”

HeroRat được phân phối thông qua các kênh khác nhau, thường thông qua ứng dụng bên thứ ba mua sắm cải trang như là phương tiện truyền thông xã hội và các ứng dụng nhắn tin.

Số nhiễm, lớn nhất được ghi nhận ở Iran, nơi mà các ứng dụng độc hại được cung cấp đầy hứa hẹn miễn phí bitcoins, kết nối internet miễn phí và bổ sung theo trên các phương tiện truyền thông xã hội.

Các ứng dụng phân tích bởi ESET cho thấy một hành vi kỳ lạ. Đang được cài đặt trên thiết bị của người sử dụng, phần mềm độc hại sẽ hiển thị một cửa sổ pop nhỏ lên tuyên bố rằng các ứng dụng không thể chạy trên các thiết bị và vì lý do này, nó sẽ được gỡ bỏ cài đặt.

Ngay sau khi ứng dụng được lấy ra, biểu tượng của nó cũng sẽ biến mất, Tuy nhiên, thiết bị vẫn còn dưới sự kiểm soát của hacker.

Bằng cách sử dụng chức năng bot bức điện để điều khiển các thiết bị bị nhiễm bệnh, phần mềm độc hại có thể thực hiện một loạt các lệnh chẳng hạn như dữ liệu exfiltration và quay video audio/.

“Phần mềm độc hại có một mảng rộng các khả năng gián điệp và tệp exfiltration, bao gồm cả ngăn chặn tin nhắn văn bản và các liên hệ, gửi tin nhắn văn bản và thực hiện cuộc gọi, âm thanh và màn hình ghi âm, có được vị trí thiết bị và kiểm soát các thiết bị cài đặt.” phân tích ESET đọc.

Mã số HeroRat mã nguồn được cung cấp để bán cho 650 USD, và tác giả của nó cung cấp ba gói phần mềm độc hại tùy thuộc vào các tính năng thực hiện – đồ đồng, bạc và vàng, mà chi phí 25, 50 và 100 USD, tương ứng.

Khả năng của HeroRat có thể truy cập trong các hình thức có thể nhấp nút trong giao diện bot Telegram. Bằng cách khai thác các nút có sẵn trong các phiên bản của phần mềm độc hại, hacker có thể kiểm soát tất cả các thiết bị bị nhiễm bệnh.


Leave a Reply

Your email address will not be published. Required fields are marked *