Анализатори на зловреден код в един от най-големите доставчици на антивирусни решения ESET, са открили нов щам на Android RAT, известен като HeroRat. Интересното в случая е, че се използва Telegram протокол за командване и контрол, както и за ексфилтриране на данни.
HeroRat не е първият зловреден софтуер злоупотребяващ с Telegram протокола. При предишни разследвания на кампании по разпространение на малуер, бяха намерени подобни заплахи като TeleRAT и IRAT.
Новият RAT се разпространява от август 2017 г., а през март 2018 г. неговият source code е пуснат безплатно в Telegram каналите за хакване, което позволява на всеки да създаде свой вариант на зловредния софтуер.
HeroRat е замислен и разработен за зловредни цели, но всъщност изглежда доста различно от другите варианти, които са заимствали неговият source code. HeroRat е първият базиран на Telegram зловреден софтуер, разработен от нулата с помощта на езика за програмитане C #, използвайки рамката Xamarin. (предишните подобни варианти бяха написани на Java)
RAT използва библиотеката Telesharp за създаване на Telegram ботове със C #.
„Един от тези варианти е различен от останалите – въпреки свободно достъпния source code, зловредният код се предлага за продажба в специален Telegram канал под името HeroRat.” – гласи анализът, публикуван от ESET.
HeroRAT се разпространява и като услуга
Той се предлага в три ценови вариации в зависимост от функционалността, в които е включен и видеоканал за поддръжка. Все още не е ясно дали този вариант е създаден от изтеклия source code или тoва е оригиналът, чийто source code е изтекъл.
Зловредният софтуер се разпространява по различни канали като например в магазините за приложения, дегизиран като приложение за обмен на съобщения или социална медия.
Изследователите отчитат най-голям брой на заразени машини в Иран, където се предлагат зловредни програми, обещаващи безплатни биткойни, безплатни интернет връзки и допълнителни последователи в социалните медии.
Приложенията, анализирани от ESET, показват странно поведение:
- След като зловредният софтуер е инсталиран и пуснат, на устройството на жертвата се появява малък прозорец, в който пише, че приложението не може да работи на устройството и поради тази причина ще бъде деинсталирано.
- След като деинсталирането приключи на пръв поглед, иконата, свързана с приложението изчезва, но за съжаление атакуващия вече е получил контрол над устройството на жертвата.
„Зловредният софтуер има широк спектър от функции за шпиониране и извличане на файлове, включително прихващане на текстови съобщения и контакти, изпращане на текстови съобщения и извършване на повиквания, аудио и видео записване, достъп до местоположението и контрол на настройките на устройството.“- казват анализаторите.
Source кодът на HeroRat се продава за 650 долара. Авторите предлагат и три пакета от зловреден софтуер в зависимост от изпълняваните функции: бронзов, сребърен и златен, които струват допълнително съответно 25, 50 и 100 долара.
Възможностите на зловредният софтуер са достъпни под формата на бутони с опция за кликване в интерфейса на Telegram бот, който контролира „агентите“ си.
Как да се предпазим?
Най-добрият начин да проверите дали вашият мобилен телефон е бил заразен е да го сканирате, като използвате надеждно мобилно приложение за сигурност.
