ESET 研究人员发现了一个新的 Android RAT(远程管理工具)系列,该系列一直在滥用 Telegram 协议进行命令和控制以及数据泄露。
通过调查之前报告的IRRAT和TeleRAT的活动,乍一看似乎有所增加,我们发现了一个全新的恶意软件家族,该家族至少自 2017 年 8 月以来一直在传播。2018 年 3 月,其源代码在 Telegram 上免费提供黑客渠道,导致该恶意软件的数百个并行变种在野外传播。
其中一个变体与其他变体不同——尽管可以免费获得源代码,但它在专门的 Telegram 频道上出售,以 HeroRat 的名称进行销售。根据功能,它提供三种定价模式,并配有支持视频频道。目前尚不清楚该变种是否是根据泄露的源代码创建的,或者是否是源代码被泄露的“原始版本”。
它是如何运作的?
攻击者通过第三方应用商店、社交媒体和消息应用程序以各种听起来有吸引力的幌子传播 RAT,引诱受害者下载 RAT。我们发现恶意软件主要分布在伊朗,应用程序承诺提供免费比特币、免费互联网连接以及社交媒体上的更多关注者。Google Play 上尚未发现该恶意软件。
该恶意软件在所有 Android 版本上运行:但是,受影响的用户需要接受应用程序所需的权限(有时包括以设备管理员身份激活应用程序),这就是社交工程发挥作用的地方。
在受害者的设备上安装并启动恶意软件后,会出现一个小弹出窗口,声称该应用程序无法在设备上运行,因此将被卸载。在我们分析的变体中,虚假卸载消息可以以英语或波斯语显示,具体取决于目标设备的语言设置。
卸载看似完成后,应用程序的图标消失。然而,在攻击者方面,刚刚注册了一个新的受害设备。
获得对受害者设备的访问权限后,攻击者然后利用Telegram 的机器人功能来控制新列出的设备。每个受感染的设备都通过机器人进行控制,由攻击者使用 Telegram 应用程序进行设置和操作。
该恶意软件具有广泛的间谍和文件泄露功能,包括拦截短信和联系人、发送短信和拨打电话、录音和屏幕录制、获取设备位置以及控制设备设置。
HeroRat 的功能分为三个“捆绑包”——青铜、银和金面板——售价分别为 25 美元、50 美元和 100 美元。HeroRat(雄心勃勃的)作者以 650 美元的价格提供了源代码本身。
该恶意软件的功能可以通过 Telegram 机器人界面中的可点击按钮的形式访问。攻击者只需点击他们正在运行的恶意软件版本中的可用按钮即可控制受害设备。
与之前分析的使用标准 Android Java 编写的滥用 Telegram 的 Android RAT 不同,这个新发现的恶意软件家族是使用Xamarin框架用 C# 从头开始开发的,这是 Android 恶意软件的罕见组合。
恶意软件通过 Telegram 协议进行通信的方式已适应其编程语言,该恶意软件系列使用Telesharp (一个用于使用 C# 创建 Telegram 机器人的库),而不是之前描述的 RAT 使用的Telegram Bot API。
向受感染设备传送命令和从受感染设备窃取数据都完全通过 Telegram 协议进行——这一措施旨在避免基于已知上传服务器流量的检测。
如何保持安全
随着该恶意软件的源代码最近免费提供,新的突变可以被开发并部署在世界任何地方。由于该恶意软件的分发方法和伪装形式因情况而异,因此检查您的设备是否存在任何特定应用程序并不足以判断您的设备是否已受到损害。
如果您有理由相信您的设备已受到此恶意软件的危害,请使用可靠的移动安全解决方案对其进行扫描。ESET 系统检测并阻止此威胁为 Android/Spy.Agent.AMS 和 Android/Agent.AQO。
为了避免成为 Android 恶意软件的受害者,请在下载应用程序时坚持使用官方 Google Play 商店,确保在将任何内容下载到您的设备之前阅读用户评论,并注意您在安装前后授予应用程序的权限。