TeleRAT Android Trojan sử dụng điện tín đến dữ liệu Exfiltrate

Computer Security News

Các chuyên gia tại Palo Alto mạng tìm thấy một thương hiệu mới Android trojan được gọi là TeleRAT. Trojan dùng Telegram Bot API cho chỉ huy và kiểm soát (C & C) máy chủ truyền thông và dữ liệu exfiltration.

TeleRAT trojan được cho là đến từ Iran và nó tấn công Iran người dùng chủ yếu. Theo các nhà nghiên cứu, có một số điểm tương đồng giữa TeleRAT và một Android trojan được gọi là IRRAT, cũng thúc đẩy của Telegram bot API cho C & C giao tiếp.

“Bức điện chương trình là tài khoản đặc biệt mà không cần một số điện thoại bổ sung để cài đặt và thường được sử dụng để làm phong phú thêm cuộc trò chuyện bức điện với nội dung từ các dịch vụ bên ngoài hoặc để có được tùy chỉnh thông báo và tin tức.” đọc phân tích được xuất bản bởi PaloAlto mạng.

IRRAT trojan có thể ăn cắp các thông tin liên lạc, một danh sách các tài khoản Google, đăng ký trên thiết bị và các lịch sử tin nhắn SMS. Phần mềm độc hại cũng có thể chụp ảnh với máy ảnh hướng về phía trước và trở lại, phải đối mặt với.

Các dữ liệu bị đánh cắp giữ trên một loạt các tệp trên thẻ SD trên điện thoại và gửi đến một máy chủ tải lên sau đó. Trong khi đó, các IRRAT trojan báo cáo một bot Telegram, ẩn biểu tượng của nó từ trình đơn ứng dụng của điện thoại và chạy dưới nền, chờ đợi lệnh tiếp tục.

TeleRAT trojan hoạt động một cách khác nhau. Nó tạo ra hai tập tin trên thiết bị, telerat2.txt chứa các thông tin thiết bị (tức là số phiên bản bộ nạp khởi động hệ thống, bộ nhớ có sẵn, và một số lõi bộ xử lý), và thisapk_slm.txt chứa một kênh điện tín và một danh sách các lệnh.

Khi cài đặt vào hệ thống, mã độc hại ngay lập tức thông báo cho các tin tặc này bằng cách gửi một tin nhắn đến một bot bức điện thông qua các bức điện bot API với ngày hiện tại và thời gian. Cùng lúc đó, các trojan chạy một dịch vụ nền mà lắng nghe cho những thay đổi được thực hiện vào clipboard, và sau đó, các ứng dụng fetches Cập Nhật từ các bức điện bot API mỗi thứ hai 4.6 lắng nghe cho một số các lệnh được viết bằng tiếng Ba tư.

TeleRAT cũng có thể nhận được lệnh, để lấy địa chỉ liên hệ, vị trí, danh sách ứng dụng hoặc nội dung của bảng tạm; nhận được thông tin tính cước; danh sách tập tin hoặc danh sách tập tin gốc; tải về tập tin, tạo địa chỉ liên hệ, đặt nền, nhận được hoặc gửi SMS; chụp ảnh; nhận hay thực hiện cuộc gọi; bật điện thoại để im lặng hoặc lớn; tắt màn hình điện thoại; xóa ứng dụng; gây ra điện thoại rung động; và ăn cắp hình ảnh từ các thư viện.

Ngoài ra, phần mềm độc hại TeleRAT có khả năng tải lên dữ liệu exfiltrated bằng cách sử dụng phương pháp API của Telegram sendDocument nhằm trốn tránh phát hiện dựa trên mạng.

Trojan có thể nhận được Cập Nhật theo hai cách – phương pháp getUpdates (trong đó đưa ra một lịch sử của tất cả các lệnh gửi đến bot, bao gồm cả tên người dùng các lệnh có nguồn gốc từ), và sử dụng một Webhook (bot Cập Nhật có thể được chuyển hướng đến một URL HTTPS được chỉ định bằng phương tiện trong một Webhook).

TeleRAT được phân phối thông qua các ứng dụng hợp pháp dường như trong các cửa hàng ứng dụng Android bên thứ ba và cũng có thể thông qua các kênh Iran Telegram bất chính và hợp pháp. Theo mạng lưới PaloAlto, tổng số là 2.293 người dùng đã đã bị nhiễm, đặt chúng có số điện thoại Iran.


Leave a Reply

Your email address will not be published. Required fields are marked *