TeleRAT Android Trojan använder Telegram till Exfiltrate Data

Computer Security News

Experterna på Palo Alto Networks hittade en helt ny Android trojan som heter TeleRAT. Trojanen använder Telegram Bot API för kommando och kontroll (C & C) server-kommunikation och data exfiltration.

TeleRAT trojan är tänkt för att komma från Iran och det anfaller iranska användare mestadels. Enligt forskarna finns det vissa likheter mellan TeleRAT och en annan Android trojan alarmerat IRRAT, som också utnyttjar Telegram’s bot API för C & C kommunikation.

”Telegram Bots är särskilda konton som inte kräver ett extra telefonnummer att setup och används i allmänhet att berika Telegram chattar med innehåll från externa tjänster eller att få anpassade meddelanden och nyheter”. läser den analysen utgiven av inriktningen nätverk.

IRRAT trojan kan stjäla kontaktinformation, en lista över Google-konton som registreras på enheter och SMS-historik. Malware är också kunna ta bilder med de framåtriktade och bakåtriktade kamerorna.

Stulna data hålls på en serie av filer på telefonens SD-kort och skickas till en uppladdning servern efter det. Samtidigt IRRAT trojan rapporterna till Telegram bot, döljer dess ikon från telefonens app meny och körs i bakgrunden väntar ytterligare kommandon.

TeleRAT trojan fungerar på ett annat sätt. Det skapar två filer på enheten, telerat2.txt som innehåller information om enheten (dvs. system bootloader versionsnummer tillgängligt minne och ett antal processorkärnor) och thisapk_slm.txt som innehåller en Telegram-kanal och en lista över kommandon.

När installerat på systemet, om den skadliga koden omedelbart hackare på detta genom att skicka ett meddelande till en Telegram bot via Telegram bot API med aktuellt datum och tid. Samtidigt, trojan körs en bakgrundstjänst som lyssnar efter ändringar som gjorts till Urklipp och sedan programmet hämtar uppdateringar från Telegram bot API varannan 4,6 lyssnande för flera kommandon skrivet på persiska.

TeleRAT är också kan ta emot kommandon, att ta kontakter, läge, applistan eller innehållet i Urklipp; ta emot laddning information; få fillistan eller root fillista; Ladda ner filer, skapa kontakter, bakgrundsbild, ta emot eller skicka SMS; ta foton; ta emot eller ringa samtal; Vrid telefonen tyst eller högt; stänga av telefonens skärm; radera appar; orsaka att telefonen ska vibrera; och stjäla bilder från galleriet.

Dessutom är TeleRAT malware kapabel att överföra exfiltrated data metoden telegrams skicka API för att undgå nätverk-baserad detektion.

Trojanen kan få uppdateringar på två sätt – metoden getUpdates (som exponerar en historik över alla kommandon skickas till bot, inklusive användarnamn kommandona härstammar från), och användningen av en Webhook (bot uppdateringar kan omdirigeras till en HTTPS-URL anges av medel av en Webhook).

TeleRAT distribueras via synes legitima program i Android app från tredje part butiker och också via både legitimt och skändlig iranska Telegram kanaler. Enligt inriktningen nätverk, totalt 2.293 användare har redan smittats, mest av dem med iranska telefonnummer.


Leave a Reply

Your email address will not be published. Required fields are marked *