TeleRAT Android Trojan utiliza Bot Telegram API C & C Communication

Fuente De Imagen

TeleRAT es el nombre del último troyano de Android descubierto por los investigadores de Palo Alto Networks. El troyano está diseñado para usar la API de telegramas Bot para comunicarse con su servidor de comando y control a los efectos de los datos de exfiltración.

 El malware parece ser creado en Irán, o al menos está dirigido a personas de ese país. Hay bastantes similitudes entre los investigadores que encontraron TeleRAT e IRRAT Trojan, que también abusaron de la API del telegrama bot para sus comunicaciones.

Según informes anteriores, se sabe que Bot Telegram API ya se utilizó para recopilar información como SMS, historial de llamadas y listas de archivos de dispositivos Android específicos.

La mayoría de las aplicaciones que vimos se disfrazan como una aplicación que le dice cuántas vistas recibió su perfil de telegrama, ni que decir tiene que la información proporcionada es inexacta ya que Telegram no llena esta información, escribieron los investigadores en su informe.

¿Cómo funciona la función TeleRAT?

El troyano crea y luego llena varios archivos en la tarjeta SD del dispositivo y luego los envía al servidor de descarga. Aquí está la lista de archivos:

[IMEI] numbers.txt »: Información de contacto
"[IMEI] acc.txt": lista de cuentas de Google en el teléfono
"[IMEI] sms.txt": Historial de SMS
jpg: Foto tomada con la cámara desde el frente
image.jpg: Foto tomada con la cámara en la parte posterior


Una vez hecho esto, el troyano informa al robot del telegrama con la ayuda de una etiqueta.

¿Cómo encuentran los investigadores a TeleRAT? Mientras examinaba muestras de IRRAT, el equipo descubrió otra familia de Android RAT que parecía ser de Irán. La parte no solo usa la API de telegramas para comunicaciones de comando y control sino que también extravía información robada.

No es sorprendente que TeleRAT sea probablemente una actualización de IRRAT porque elimina la posibilidad de detección basada en red en general en función del tráfico a los servidores de descarga conocidos.

"Además de los comandos adicionales, este nuevo gran diferenciador de la familia en IRRAT es que también los datos de carga exfiltrados utilizan el método de telegrama API sendDocument", dijo el informe de Palo Alto.

Además, el troyano puede actualizarse de dos maneras: mediante el método getUpdates que revela el historial de todos los comandos enviados al bot y mediante el uso de un webhook.

En cuanto a las técnicas de distribución que utiliza, el troyano utiliza "aplicaciones aparentemente legítimas de tiendas de aplicaciones de Android de terceros". Según las estadísticas de infección proporcionadas por Palo Alto, 2,293 usuarios se han visto afectados por este malware, y el 82 por ciento de las víctimas tienen números de teléfono iraníes.

Saludos Amig@s de Steemit Hasta la Proxima..!

FUENTE

H2
H3
H4
3 columns
2 columns
1 column
Join the conversation now
Logo
Center