Un nuevo troyano de Android esta sacando ventaja del Api de Telegram BOT para comunicarse con un centro de comando y control para pode ex-filtrar información. Los investigadores de Palo Alto Network dieron el aviso.
El malware fue apodado como TeleRAT, el cual fue creado por Irán y tiene como objetivo toda la gente de Irán. La amenaza es similar al RAT previamente observado llamado IRRAT, el cual utilizaba el API de Telegram para comunicarse con el C&C.
IRRAT
IRRAT se enmascara como una aplicación de ayuda para los usuarios de Telegram para poder detectar la cantidad de vistas que tienen sus perfiles de Telegram( Hay que recalcar que Telegram no posee dicha característica de apoyo al usuario). Posterior al primer arranque del malware, este crea una serie de archivos en la tarjeta SD del teléfono los cuales son enviados a un servidor destino.
Los archivos que son enviados cuentan con información de los contactos del usuario, incluyendo la lista de contactos de Google que está registrada en el teléfono, historial de SMS, y fotografías tomadas con la cámara frontal y posterior del Móvil. El Malware se reporta por medio del Bot de telegram, oculta su icono del menú de aplicaciones y sigue corriendo en background mientras espera instrucciones.
TeleRAT
Por otro lado, TeleRAT, crea dos archivos en el dispositivo, uno de estos contiene información del dispositivo, y otro que contiene información sobre los canales de telegram que posee el usuario.
Posterior a la instalación, el rat informa al atacante por medio del API del Bot de Telegram. El malware puede grabar contactos, ubicación, lista de aplicaciones, recibiendo y cargando información, puede obtener la lista de archivos de sistema, la lista de archivos descargados por el usuario, crear nuevos contactos, configurar el fondo de pantalla. enviar o recibir SMS, tomar fotografías, enviar y recibir llamadas... en pocas palabras, puede después tomar control casi total del sistema.
Los investigadores afirman haber encontrado una imagen del botmaster probando la RAT, junto con mensajes exfiltrados para confirmarlo. El malware también parece contener el nombre de usuario del desarrollador en el código, que lleva a los investigadores al canal Telegram 'vahidmail67', que anuncia aplicaciones para ayudar a los usuarios a obtener me gusta y seguidores en Instagram, ransomware e incluso el código fuente de una RAT sin nombre.
