信息來(lái)源:hackernews
近日,Palo Alto Networks 的安全專(zhuān)家發(fā)現(xiàn)了一種名為 TeleRAT 的新型 Android 木馬,該木馬使用 Telegram 的 Bot API 來(lái)與命令和控制(C&C)服務(wù)器進(jìn)行通信和竊取數(shù)據(jù)。目前安全專(zhuān)家猜測(cè) TeleRAT 可能是由伊朗的幾位威脅攻擊者操作運(yùn)營(yíng)。
其實(shí)另一個(gè)被稱(chēng)為 IRRAT 的 Android 惡意軟件與 TeleRAT 有相似之處,因?yàn)樗怖昧?Telegram 的 bot API 進(jìn)行 C&C 通信。IRRAT 能夠竊取聯(lián)系人信息、在設(shè)備上注冊(cè)的 Google 帳戶(hù)列表、短信歷史記錄,并且還可以使用前置攝像頭和后置攝像頭拍攝照片。這些被盜的數(shù)據(jù)存儲(chǔ)在手機(jī) SD 卡上的一些文件中,由 IRRAT 將它們發(fā)送到上傳服務(wù)器。IRRAT 將這些行為報(bào)告給 Telegram bot 后,將其圖標(biāo)從手機(jī)的應(yīng)用菜單中隱藏起來(lái),在后臺(tái)運(yùn)行著等待命令。
而 TeleRAT Android 惡意軟件則以不同的方式運(yùn)行著:它在設(shè)備上創(chuàng)建兩個(gè)文件,其中包含設(shè)備信息(即系統(tǒng)引導(dǎo)加載程序版本號(hào),可用內(nèi)存和大量處理器內(nèi)核)的 telerat2.txt,以及包含電報(bào)通道和一系列命令的 thisapk_slm.txt 。
TeleRAT 一旦被成功安裝,惡意代碼就會(huì)通過(guò)電報(bào) Bot API 發(fā)送消息來(lái)通知攻擊者,并且該惡意軟件還啟動(dòng)了后臺(tái)服務(wù),用于監(jiān)聽(tīng)對(duì)剪貼板所做的更改。除此之外,TeleRAT 每 4.6 秒鐘從 bot API 中獲取更新,以監(jiān)聽(tīng)用波斯語(yǔ)編寫(xiě)的幾條命令。以下為兩種獲取更新的方式:
1、 getUpdates 方法(公開(kāi)發(fā)送給 bot 的所有命令的歷史記錄,其中包括命令發(fā)起的用戶(hù)名)
2、Webhook 方法(bot 更新可以被重定向到一個(gè)通過(guò) Webhook 指定的HTTPS URL)。
TeleRAT 功能用途極為廣泛,如以下:
接收命令來(lái)抓取聯(lián)系人、位置、應(yīng)用程序列表或剪貼板的內(nèi)容;
接收收費(fèi)信息、 獲取文件列表或根文件列表;
下載文件、創(chuàng)建聯(lián)系人、設(shè)置壁紙、接收或發(fā)送短信;
拍照、接聽(tīng)或撥打電話(huà)、將手機(jī)靜音或大聲;
關(guān)閉手機(jī)屏幕、 刪除應(yīng)用程序、導(dǎo)致手機(jī)振動(dòng)、從畫(huà)廊獲取照片;
TeleRAT 還能夠使用電報(bào)的 sendDocument API 方法上傳已竊取的數(shù)據(jù),這樣就避開(kāi)了基于網(wǎng)絡(luò)的檢測(cè)。
TeleRAT 傳播
TeleRAT 惡意軟件除了通過(guò)看似合法的應(yīng)用程序分發(fā)到第三方 Android 應(yīng)用程序商店外,也通過(guò)合法和惡意的伊朗電報(bào)渠道進(jìn)行分發(fā)。根據(jù) Palo Alto Networks 統(tǒng)計(jì),目前共有 2293 名用戶(hù)明顯受到感染,其中大多數(shù)(82%)擁有伊朗電話(huà)號(hào)碼。
TeleRAT 被認(rèn)為是 IRRAT 的升級(jí)版本,因?yàn)樗嘶谝阎蟼鞣?wù)器流量網(wǎng)絡(luò)檢測(cè)的可能性,這是由于所有通信(包括上傳)都是通過(guò)電報(bào) bot API 完成的。 除了一些額外的命令外,TeleRAT 與 IRRAT 的主要區(qū)別還在于TeleRAT 使用了電報(bào) sendDocument API 方法上傳已竊取的數(shù)據(jù) 。
Palo Alto Networks 完整分析報(bào)告見(jiàn):
《 TeleRAT: Another Android Trojan Leveraging Telegram’s Bot API to Target Iranian Users 》