Investigadores de
Palo Alto Networks analizan una nueva familia de RAT que utiliza exclusivamente
la API de Telegram para enviar y recibir la información.
TeleRAT es un troyano
para Android diseñado para robar información. Sus objetivos principales parecen
apuntar a ciudadanos iraníes y guarda bastante relación con otro troyano de
similares características y objetivos: IRRAT.
La novedad que
introduce esta nueva familia es que utiliza únicamente la API de Telegram para
comunicarse con el C2 para recibir comandos y enviar la información.
El malware funciona
de la siguiente forma:
En primer lugar se
crean los archivos 'telerat2.txt' con información técnica sobre el dispositivo.
Y 'thisapk_slm.txt' con la dirección del canal de Telegram y una lista de
comandos aceptados.
Una vez instalado en
el sistema, el malware envía a los atacantes un mensaje con la fecha y la hora,
indicando que está operativo. A la vez, el malware inicia varios servicios que
monitorizan el portapapeles del dispositivo y otros que quedan a la espera de
actualizaciones desde la API de Telegram.
Utilizando esta vía
de comunicación los atacantes pueden dar ordenes al troyano para recibir
diversa información: la lista de contactos, su localización, información sobre
la batería, el portapapeles, etc. También permite exfiltrar ficheros utilizando
el método 'sendDocument'. Al utilizar exclusivamente la API de Telegram hace
más difícil la detección de estos comportamientos
El malware se ha
distribuido en algunos markets iraníes y canales de Telegram haciéndose pasar
por aplicaciones legítimas con nombres como "Telegram Finder" o
"Profile Cheer".
Más información:
- TeleRAT: Another Android Trojan Leveraging
Telegram’s Bot API to Target Iranian Users: https://researchcenter.paloaltonetworks.com/2018/03/unit42-telerat-another-android-trojan-leveraging-telegrams-bot-api-to-target-iranian-users/
Fuente: Hispasec