wechatimg3

TeleRAT :一种利用 Telegram 秘密窃取数据的新型 Android 木马

  • 浏览次数 11048
  • 喜欢 0
  • 评分 12345

近日,Palo Alto Networks 的安全专家发现了一种名为 TeleRAT 的新型 Android 木马,该木马使用 Telegram 的 Bot API 来与命令和控制(C&C)服务器进行通信和窃取数据。目前安全专家猜测 TeleRAT 可能是由伊朗的几位威胁攻击者操作运营。

其实另一个被称为 IRRAT 的 Android 恶意软件与 TeleRAT 有相似之处,因为它也利用了 Telegram 的 bot API 进行 C&C 通信。IRRAT 能够窃取联系人信息、在设备上注册的 Google 帐户列表、短信历史记录,并且还可以使用前置摄像头和后置摄像头拍摄照片。这些被盗的数据存储在手机 SD 卡上的一些文件中,由 IRRAT 将它们发送到上传服务器。IRRAT 将这些行为报告给 Telegram bot 后,将其图标从手机的应用菜单中隐藏起来,在后台运行着等待命令。

而 TeleRAT Android 恶意软件则以不同的方式运行着:它在设备上创建两个文件,其中包含设备信息(即系统引导加载程序版本号,可用内存和大量处理器内核)的 telerat2.txt,以及包含电报通道和一系列命令的 thisapk_slm.txt 。

TeleRAT 一旦被成功安装,恶意代码就会通过电报 Bot API 发送消息来通知攻击者,并且该恶意软件还启动了后台服务,用于监听对剪贴板所做的更改。除此之外,TeleRAT 每 4.6 秒钟从 bot API 中获取更新,以监听用波斯语编写的几条命令。以下为两种获取更新的方式:

1、 getUpdates 方法(公开发送给 bot 的所有命令的历史记录,其中包括命令发起的用户名)

2、Webhook 方法(bot 更新可以被重定向到一个通过 Webhook 指定的HTTPS URL)。

 TeleRAT 功能用途极为广泛,如以下:

接收命令来抓取联系人、位置、应用程序列表或剪贴板的内容;

接收收费信息、 获取文件列表或根文件列表;

下载文件、创建联系人、设置壁纸、接收或发送短信;

拍照、接听或拨打电话、将手机静音或大声;

关闭手机屏幕、 删除应用程序、导致手机振动、从画廊获取照片;

TeleRAT 还能够使用电报的 sendDocument API 方法上传已窃取的数据,这样就避开了基于网络的检测。

TeleRAT 传播

TeleRAT 恶意软件除了通过看似合法的应用程序分发到第三方 Android 应用程序商店外,也通过合法和恶意的伊朗电报渠道进行分发。根据 Palo Alto Networks 统计,目前共有 2293 名用户明显受到感染,其中大多数(82%)拥有伊朗电话号码。

TeleRAT 被认为是 IRRAT 的升级版本,因为它消除了基于已知上传服务器流量网络检测的可能性,这是由于所有通信(包括上传)都是通过电报 bot API 完成的。 除了一些额外的命令外,TeleRAT 与 IRRAT 的主要区别还在于TeleRAT 使用了电报 sendDocument API 方法上传已窃取的数据 。

Palo Alto Networks 完整分析报告见:

TeleRAT: Another Android Trojan Leveraging Telegram’s Bot API to Target Iranian Users

消息来源:Security Affairs,编译:榆榆,审核:FOX;

本文由 HackerNews.cc 编译整理,封面来源于网络;

转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

封面