Android远程利用木马通过Telegram的Bot功能感染安卓设备

  • A+
所属分类:网络安全新闻

ESET揭示,新近推出的Android远程访问木马(RAT)利用Telegram的bot功能来控制受感染的设备。

被称为HeroRat 的恶意软件自2017年8月起至今一直在蔓延。截至2018年3月,Trojan的源代码已在电报黑客频道免费获得,导致数百种变体出现在攻击中。

Android远程利用木马通过Telegram的Bot功能感染安卓设备

尽管源代码可以免费获得,但其中的一个版本正在三个价位的专用电报频道上销售,具体取决于功能。这家安全公司发现,支持视频频道也是可用的。

“ESET的Lukas Stefanko在一篇博客文章中写道:”目前还不清楚这个变体是从泄露的源代码创建的,还是源代码被泄露的'原创' 。

HeroRat与其他电报滥用Android RAT的不同之处在于,它使用Xamarin框架在C#中从头开发,Stefanko说。这是Android恶意软件的罕见组合,因为之前分析的木马是用标准Android Java编写的。

此外,恶意软件作者已将电报协议改编为使用的编程语言。新的威胁使用Telesharp,一个用C#创建电报机器人的库,而不是将Telegram Bot API用作其他RAT。所有与受感染设备之间的通信都使用电报协议进行。

新的恶意软件正在通过第三方应用程序商店,社交媒体和消息传递应用程序以各种吸引人的形式发布(应用程序承诺免费提供比特币,免费互联网和社交媒体上的更多追随者),主要在伊朗。

恶意程序与所有Android版本兼容,但它要求用户授予其广泛的权限,有时甚至可以作为设备管理员激活其应用程序。根据这些权限,威胁可以擦除设备上的所有数据,锁定屏幕,更改密码并更改密码规则。

安装完成并启动恶意软件后,会弹出一个窗口(英语或波斯语),声称该应用程序无法运行并且正在被卸载。然后通知受害者卸载已完成,并且应用程序图标消失。

然而,恶意软件继续在后台运行,攻击者可以开始使用Telegram的bot功能来控制新感染的设备。Stefanko说,通过电报应用程序运行的机器人控制每个受损设备。

HeroRat可以侦测受害者并从受感染设备中泄

CE安全网

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: