Android远程利用木马通过Telegram的Bot功能感染安卓设备

ESET揭示，新近推出的Android远程访问木马（RAT）利用Telegram的bot功能来控制受感染的设备。

被称为HeroRat 的恶意软件自2017年8月起至今一直在蔓延。截至2018年3月，Trojan的源代码已在电报黑客频道免费获得，导致数百种变体出现在攻击中。

尽管源代码可以免费获得，但其中的一个版本正在三个价位的专用电报频道上销售，具体取决于功能。这家安全公司发现，支持视频频道也是可用的。

“ESET的Lukas Stefanko在一篇博客文章中写道：”目前还不清楚这个变体是从泄露的源代码创建的，还是源代码被泄露的'原创' 。

HeroRat与其他电报滥用Android RAT的不同之处在于，它使用Xamarin框架在C＃中从头开发，Stefanko说。这是Android恶意软件的罕见组合，因为之前分析的木马是用标准Android Java编写的。

此外，恶意软件作者已将电报协议改编为使用的编程语言。新的威胁使用Telesharp，一个用C＃创建电报机器人的库，而不是将Telegram Bot API用作其他RAT。所有与受感染设备之间的通信都使用电报协议进行。

新的恶意软件正在通过第三方应用程序商店，社交媒体和消息传递应用程序以各种吸引人的形式发布（应用程序承诺免费提供比特币，免费互联网和社交媒体上的更多追随者），主要在伊朗。

恶意程序与所有Android版本兼容，但它要求用户授予其广泛的权限，有时甚至可以作为设备管理员激活其应用程序。根据这些权限，威胁可以擦除设备上的所有数据，锁定屏幕，更改密码并更改密码规则。

安装完成并启动恶意软件后，会弹出一个窗口（英语或波斯语），声称该应用程序无法运行并且正在被卸载。然后通知受害者卸载已完成，并且应用程序图标消失。

然而，恶意软件继续在后台运行，攻击者可以开始使用Telegram的bot功能来控制新感染的设备。Stefanko说，通过电报应用程序运行的机器人控制每个受损设备。

HeroRat可以侦测受害者并从受感染设备中泄