Эксперты по безопасности компании Palo Alto Networks обнаружили RAT-троянец для мобильных устройств, который с помощью API-сервиса Telegram крадет данные со смартфонов иранских пользователей.
«Крыса» в Telegram
Эксперты по безопасности компании Palo Alto Networks выявили новую вредоносную программу для Android, которая использует API для ботов в Telegram для связи с контрольным сервером (C&C) и вывода данных с устройства жертвы.
«Боты» в Telegram это специальные аккаунты, используемые, как правило, для подтягивания контента со сторонних сервисов или для отправки пользователям специализированных уведомлений и новостей.
TeleRAT - не первый вредонос, эксплуатирующий API «ботов» Telegram для проведения атак на пользователей. Ранее экспертам уже попадалась программа IRRAT, которая, правда, использовала эти API только для связи с контрольным сервером. TeleRAT, в свою очередь, производит еще и эксфильтрацию данных.
И TeleRAT, и IRRAT атакуют иранских пользователей, маскируясь, в том числе, под приложения, которые позволяют индексировать количество просмотров профиля в Telegram. Сервис не предоставляет такой функциональности в принципе.
Шпион на службе коммерсантов
TeleRAT создает и заполняет два файла - telerat2.txt (включающий всевозможные данные об устройстве - версию системного загрузчика, доступную память и количество процессорных ядер) и thisapk_slm.txt (содержит информацию о канале Telegram и список команд). После установки в системе вредонос уведомляет об этом злоумышленников, отправляя боту сообщение с текущей датой и временем.
Найден троян для устройств на Android, который с помощью API-сервиса Telegram крадет данные со смартфонов
После этого запускается фоновый процесс, который раз в 4,6 секунды проверяет поступление новых команд (передаваемых на языке фарси).
Вредонос способен получать (и передавать) информацию о контактах, местоположении, списке приложений, содержимом буфера обмена. Кроме этого он способен загружать файлы, создавать новые контакты, устанавливать обои, получать и отправлять SMS, делать фотографии фотографий и управлять звонками. Троянец также может заставить телефон вибрировать в течение длительного времени - до 600 секунд непрерывно. API-метод sendDocument позволяет троянцу избегать обнаружения.
В коде TeleRAT эксперты нашли имя разработчика, которое привело их к каналу Telegram ‘vahidmail67’. Этот канал занимается рекламой всевозможных сомнительных приложений, от накрутчиков для Instagtam до шифровальщиков-вымогателей. Нашлись также ссылки на программерские форумы в Иране, где продавалась библиотека средств управления ботами в Telegram.
«Интересный пример того, как вредоносное приложение с типичной «шпионской» функциональностью распространяется «обычными» кибермошенниками, а не APT-акторами, - считает Роман Гинятуллин, эксперт по информационной безопасности компании SEC Consult Services. – В принципе, это доказывает, что инструментами, которые создавали условные «государственные хакеры», рано или поздно начинают пользоваться коммерчески-ориентированные киберзлоумышленники».
«Крыса» в Telegram
Эксперты по безопасности компании Palo Alto Networks выявили новую вредоносную программу для Android, которая использует API для ботов в Telegram для связи с контрольным сервером (C&C) и вывода данных с устройства жертвы.
«Боты» в Telegram это специальные аккаунты, используемые, как правило, для подтягивания контента со сторонних сервисов или для отправки пользователям специализированных уведомлений и новостей.
TeleRAT - не первый вредонос, эксплуатирующий API «ботов» Telegram для проведения атак на пользователей. Ранее экспертам уже попадалась программа IRRAT, которая, правда, использовала эти API только для связи с контрольным сервером. TeleRAT, в свою очередь, производит еще и эксфильтрацию данных.
И TeleRAT, и IRRAT атакуют иранских пользователей, маскируясь, в том числе, под приложения, которые позволяют индексировать количество просмотров профиля в Telegram. Сервис не предоставляет такой функциональности в принципе.
Шпион на службе коммерсантов
TeleRAT создает и заполняет два файла - telerat2.txt (включающий всевозможные данные об устройстве - версию системного загрузчика, доступную память и количество процессорных ядер) и thisapk_slm.txt (содержит информацию о канале Telegram и список команд). После установки в системе вредонос уведомляет об этом злоумышленников, отправляя боту сообщение с текущей датой и временем.
Найден троян для устройств на Android, который с помощью API-сервиса Telegram крадет данные со смартфонов
После этого запускается фоновый процесс, который раз в 4,6 секунды проверяет поступление новых команд (передаваемых на языке фарси).
Вредонос способен получать (и передавать) информацию о контактах, местоположении, списке приложений, содержимом буфера обмена. Кроме этого он способен загружать файлы, создавать новые контакты, устанавливать обои, получать и отправлять SMS, делать фотографии фотографий и управлять звонками. Троянец также может заставить телефон вибрировать в течение длительного времени - до 600 секунд непрерывно. API-метод sendDocument позволяет троянцу избегать обнаружения.
В коде TeleRAT эксперты нашли имя разработчика, которое привело их к каналу Telegram ‘vahidmail67’. Этот канал занимается рекламой всевозможных сомнительных приложений, от накрутчиков для Instagtam до шифровальщиков-вымогателей. Нашлись также ссылки на программерские форумы в Иране, где продавалась библиотека средств управления ботами в Telegram.
«Интересный пример того, как вредоносное приложение с типичной «шпионской» функциональностью распространяется «обычными» кибермошенниками, а не APT-акторами, - считает Роман Гинятуллин, эксперт по информационной безопасности компании SEC Consult Services. – В принципе, это доказывает, что инструментами, которые создавали условные «государственные хакеры», рано или поздно начинают пользоваться коммерчески-ориентированные киберзлоумышленники».