TeleRAT:利用Telegram窃取数据的新型Android木马

2018-03-26 18:20 标签: 新型Android木马,网络安全

  近日,PaloAlto Net works的安全专家发现了一种名为Tele RAT的新型Android木马,该木马使用Telegram的BotAPI来与命令和控制(C&C)服务器进行通信和窃取数据。目前安全专家猜测Tele RAT可能是由伊朗的几位威胁攻击者操作运营。

  其实另一个被称为IRRAT的Android恶意软件与Tele RAT有相似之处,因为它也利用了Telegram的bot API进行C&C通信。IRRAT能够窃取联系人信息、在设备上注册的Google帐户列表、短信历史记录,并且还可以使用前置摄像头和后置摄像头拍摄照片。这些被盗的数据存储在手机SD卡上的一些文件中,由IRRAT将它们发送到上传服务器。IRRAT将这些行为报告给Telegrambot后,将其图标从手机的应用菜单中隐藏起来,在后台运行着等待命令。

  而Tele RATA ndroid恶意软件则以不同的方式运行着:它在设备上创建两个文件,其中包含设备信息(即系统引导加载程序版本号,可用内存和大量处理器内核)的telerat2.txt,以及包含电报通道和一系列命令的thisapk_slm.txt。

  TeleRAT一旦被成功安装,恶意代码就会通过电报BotAPI发送消息来通知攻击者,并且该恶意软件还启动了后台服务,用于监听对剪贴板所做的更改。除此之外,Tele RAT每4.6秒钟从botAPI中获取更新,以监听用波斯语编写的几条命令。以下为两种获取更新的方式:

  1、getUpdates方法(公开发送给bot的所有命令的历史记录,其中包括命令发起的用户名)

  2、Webhook方法(bot更新可以被重定向到一个通过Webhook指定的HTTP SURL)。

  TeleRAT功能用途极为广泛,如以下:

  接收命令来抓取联系人、位置、应用程序列表或剪贴板的内容;

  接收收费信息、获取文件列表或根文件列表;

  下载文件、创建联系人、设置壁纸、接收或发送短信;

  拍照、接听或拨打电话、将手机静音或大声;

  关闭手机屏幕、删除应用程序、导致手机振动、从画廊获取照片;

  TeleRAT还能够使用电报的send DocumentAPI方法上传已窃取的数据,这样就避开了基于网络的检测。

  TeleRAT传播

  TeleRAT恶意软件除了通过看似合法的应用程序分发到第三方Android应用程序商店外,也通过合法和恶意的伊朗电报渠道进行分发。根据Palo Alto Net works统计,目前共有2293名用户明显受到感染,其中大多数(82%)拥有伊朗电话号码。

  TeleRAT被认为是IRRAT的升级版本,因为它消除了基于已知上传服务器流量网络检测的可能性,这是由于所有通信(包括上传)都是通过电报botAPI完成的。除了一些额外的命令外,TeleRAT与IRRAT的主要区别还在于TeleRAT使用了电报sendDocumentAPI方法上传已窃取的数据。

  PaloAltoNetworks完整分析报告见:

  《TeleRAT:AnotherAndroidTrojanLeveragingTelegramsBotAPItoTargetIranianUsers》

  消息来源:SecurityAffairs,HackerNews.cc;

  以上为正文内容。

  网堤安全-专业的云安全解决方案综合服务商!

  转载请注明:网堤安全https://www.ddos.com

 

 

行业资讯 Industry Information

关于我们

About Us