TeleRAT Android Trojan menggunakan Telegram Exfiltrate data

Computer Security News

Para ahli di Palo Alto jaringan ditemukan sebuah trojan Android baru yang disebut TeleRAT. Trojan menggunakan Telegram Bot API untuk perintah dan komunikasi server kontrol (C & C) dan data exfiltration.

TeleRAT trojan ini seharusnya datang dari Iran dan serangan Iran pengguna sebagian besar. Menurut para peneliti, ada beberapa kesamaan antara TeleRAT dan trojan Android lain yang disebut IRRAT, yang juga memanfaatkan bot Telegram’s API untuk C & C komunikasi.

“Telegram bot adalah account khusus yang tidak memerlukan nomor telepon tambahan untuk setup dan biasanya digunakan untuk memperkaya Telegram chatting dengan konten dari layanan eksternal atau untuk mendapatkan disesuaikan pemberitahuan dan berita” membaca analisis diterbitkan oleh PaloAlto networks.

IRRAT trojan dapat mencuri informasi kontak, daftar account Google yang terdaftar pada perangkat, dan sejarah SMS. Perangkat perusak seperti ini juga dapat mengambil gambar dengan kamera menghadap ke depan dan belakang menghadap.

Data dicuri terus serangkaian file pada telepon SD card dan dikirim ke server upload setelah itu. Sementara itu, IRRAT trojan laporan untuk Telegram bot, menyembunyikan ikon dari menu aplikasi telepon dan berjalan di latar belakang menunggu perintah selanjutnya.

TeleRAT trojan beroperasi dalam cara yang berbeda. Ini menciptakan dua file pada perangkat, telerat2.txt yang berisi informasi perangkat (yaitu nomor versi sistem bootloader, memori yang tersedia, dan sejumlah Core prosesor), dan thisapk_slm.txt yang mengandung Telegram saluran dan daftar perintah.

Ketika diinstal ke sistem, kode berbahaya segera menginformasikan hacker ini dengan mengirim pesan ke Telegram bot melalui Telegram bot API dengan tanggal dan waktu. Pada saat yang sama, trojan menjalankan layanan latar belakang yang mendengarkan perubahan ke clipboard, dan kemudian, aplikasi mengambil update dari Telegram bot API setiap detik 4.6 mendengarkan untuk beberapa perintah yang ditulis dalam bahasa Persia.

TeleRAT ini juga mampu menerima perintah, untuk mengambil kontak, lokasi, daftar aplikasi, atau isi dari clipboard; menerima informasi pengisian; mendapatkan daftar file atau daftar file akar; men-download file, membuat kontak, mengatur wallpaper, menerima atau mengirim SMS; mengambil foto; menerima atau membuat panggilan; Nonaktifkan telepon untuk diam atau keras; mematikan layar telepon; menghapus aplikasi; menyebabkan telepon untuk bergetar; dan mencuri foto dari galeri.

Selain itu, TeleRAT malware mampu meng-upload data exfiltrated menggunakan Telegram’s sendDocument metode API untuk menghindari deteksi berbasis jaringan.

Trojan dapat menerima update dalam dua cara – cara getUpdates (yang memaparkan sejarah semua perintah yang dikirim ke bot, termasuk username perintah berasal dari), dan penggunaan Webhook (bot pembaruan dapat diarahkan ke URL HTTPS ditentukan oleh sarana dari Webhook).

TeleRAT didistribusikan melalui tampaknya sah aplikasi di pihak ketiga Android app toko dan juga melalui saluran Iran Telegram yang sah dan jahat. Menurut jaringan PaloAlto, total 2,293 pengguna sudah telah terinfeksi, paling dari mereka memiliki nomor telepon Iran.


Leave a Reply

Your email address will not be published. Required fields are marked *