近日,Palo Alto Networks 的安全专家发现了一种名为 TeleRAT 的新型 Android 木马,该木马使用 Telegram 的 Bot API 来与命令和控制(C&C)服务器进行通信和窃取数据。目前安全专家猜测 TeleRAT 可能是由伊朗的几位威胁攻击者操作运营。
其实另一个被称为 IRRAT 的 Android 恶意软件与 TeleRAT 有相似之处,因为它也利用了 Telegram 的 bot API 进行 C&C 通信。IRRAT 能够窃取联系人信息、在设备上注册的 Google 帐户列表、短信历史记录,并且还可以使用前置摄像头和后置摄像头拍摄照片。这些被盗的数据存储在手机 SD 卡上的一些文件中,由 IRRAT 将它们发送到上传服务器。IRRAT 将这些行为报告给 Telegram bot 后,将其图标从手机的应用菜单中隐藏起来,在后台运行着等待命令。
而 TeleRAT Android 恶意软件则以不同的方式运行着:它在设备上创建两个文件,其中包含设备信息(即系统引导加载程序版本号,可用内存和大量处理器内核)的 telerat2.txt,以及包含电报通道和一系列命令的 thisapk_slm.txt 。
TeleRAT 一旦被成功安装,恶意代码就会通过电报 Bot API 发送消息来通知攻击者,并且该恶意软件还启动了后台服务,用于监听对剪贴板所做的更改。除此之外,TeleRAT 每 4.6 秒钟从 bot API 中获取更新,以监听用波斯语编写的几条命令。以下为两种获取更新的方式:
1、 getUpdates 方法(公开发送给 bot 的所有命令的历史记录,其中包括命令发起的用户名)
2、Webhook 方法(bot 更新可以被重定向到一个通过 Webhook 指定的HTTPS URL)。
TeleRAT 功能用途极为广泛,如以下:
接收命令来抓取联系人、位置、应用程序列表或剪贴板的内容;
接收收费信息、 获取文件列表或根文件列表;
下载文件、创建联系人、设置壁纸、接收或发送短信;
拍照、接听或拨打电话、将手机静音或大声;
关闭手机屏幕、 删除应用程序、导致手机振动、从画廊获取照片;
TeleRAT 还能够使用电报的 sendDocument API 方法上传已窃取的数据,这样就避开了基于网络的检测。
TeleRAT 传播
TeleRAT 恶意软件除了通过看似合法的应用程序分发到第三方 Android 应用程序商店外,也通过合法和恶意的伊朗电报渠道进行分发。根据 Palo Alto Networks 统计,目前共有 2293 名用户明显受到感染,其中大多数(82%)拥有伊朗电话号码。
TeleRAT 被认为是 IRRAT 的升级版本,因为它消除了基于已知上传服务器流量网络检测的可能性,这是由于所有通信(包括上传)都是通过电报 bot API 完成的。 除了一些额外的命令外,TeleRAT 与 IRRAT 的主要区别还在于TeleRAT 使用了电报 sendDocument API 方法上传已窃取的数据 。
Palo Alto Networks 完整分析报告见:
《 TeleRAT: Another Android Trojan Leveraging Telegram’s Bot API to Target Iranian Users 》
消息来源:Security Affairs,编译:榆榆,审核:FOX;
本文由 HackerNews.cc 编译整理,封面来源于网络;
转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。
请登录后发表评论
注册