HeroRAT – нов AndroidRAT базиран на протокола за комуникация Telegram

Инструментът за отдалечено управление е пуснат за свободно използване в хакерските среди

Последен ъпдейт на 28 юни 2018 в 11:28 ч.

Анализатори на зловреден код в един от най-големите доставчици на антивирусни решения ESET, са открили нов щам на Android RAT, известен като HeroRat. Интересното в случая е, че се използва Telegram протокол за командване и контрол, както и за ексфилтриране на данни.

HeroRat не е първият зловреден софтуер злоупотребяващ с Telegram протокола. При предишни разследвания на кампании по разпространение на малуер, бяха намерени подобни заплахи като TeleRAT и IRAT.

Новият RAT се разпространява от август 2017 г., а през март 2018 г. неговият source code е пуснат безплатно в Telegram каналите за хакване, което позволява на всеки да създаде свой вариант на зловредния софтуер.

HeroRat е замислен и разработен за зловредни цели, но всъщност изглежда доста различно от другите варианти, които са заимствали неговият source code. HeroRat е първият базиран на Telegram зловреден софтуер, разработен от нулата с помощта на езика за програмитане C #, използвайки рамката Xamarin. (предишните подобни варианти бяха написани на Java)

RAT използва библиотеката Telesharp за създаване на Telegram ботове със C #.

„Един от тези варианти е различен от останалите – въпреки свободно достъпния source code, зловредният код се предлага за продажба в специален Telegram канал под името HeroRat.” – гласи анализът, публикуван от ESET.

HeroRAT се разпространява и като услуга

Той се предлага в три ценови вариации в зависимост от функционалността, в които е включен и видеоканал за поддръжка. Все още не е ясно дали този вариант е създаден от изтеклия source code или тoва е оригиналът, чийто source code е изтекъл.

Зловредният софтуер се разпространява по различни канали като например в магазините за приложения, дегизиран като приложение за обмен на съобщения или социална медия.

Изследователите отчитат най-голям брой на заразени машини в Иран, където се предлагат зловредни програми, обещаващи безплатни биткойни, безплатни интернет връзки и допълнителни последователи в социалните медии.

Приложенията, анализирани от ESET, показват странно поведение:

„Зловредният софтуер има широк спектър от функции за шпиониране и извличане на файлове, включително прихващане на текстови съобщения и контакти, изпращане на текстови съобщения и извършване на повиквания, аудио и видео записване, достъп до местоположението и контрол на настройките на устройството.“- казват анализаторите.

Source кодът на HeroRat се продава за 650 долара. Авторите предлагат и три пакета от зловреден софтуер в зависимост от изпълняваните функции: бронзов, сребърен и златен, които струват допълнително съответно 25, 50 и 100 долара.

Възможностите на зловредният софтуер са достъпни под формата на бутони с опция за кликване в интерфейса на Telegram бот, който контролира „агентите“ си.

Как да се предпазим?

Най-добрият начин да проверите дали вашият мобилен телефон е бил заразен е да го сканирате, като използвате надеждно мобилно приложение за сигурност.

Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook. 

Exit mobile version