ESET的惡意軟件研究專家近期發(fā)現(xiàn)了一種新型的AndroidRAT，并將其命名為HeroRat，這款惡意軟件利用了Telegram協(xié)議來實(shí)現(xiàn)遠(yuǎn)程命令控制以及數(shù)據(jù)提取。

實(shí)際上，HeroRat并不是第一款利用Telegram協(xié)議的惡意軟件，之前還曾出現(xiàn)過例如TeleRAT和IRRAT這樣類似的惡意軟件。
HeroRat從2017年8月份就開始在全世界傳播了，而在2018年3月份它的源代碼在Telegram Hacking Channels中被發(fā)布了出來，任何人都可以免費(fèi)獲取到，這也就意味著網(wǎng)絡(luò)犯罪分子可以根據(jù)自己的需要開發(fā)出相應(yīng)的變種。
不過，HeroRat跟其他借鑒相同代碼的變種非常不同，HeroRat是第一款基于Telegram并使用了Xamarin框架的惡意軟件，它利用Telesharp庫來創(chuàng)建Telegram bot，并采用C#完成了所有的開發(fā)，而其他的惡意軟件都是采用Java編寫的。
根據(jù)ESET發(fā)布的分析報(bào)告：“雖然原版代碼已經(jīng)開源，但這款RAT仍在特定的Telegram channel上進(jìn)行出售，而且有三種價(jià)格模型可選擇。需要注意的是，我們現(xiàn)在還無法確定這款RAT是根據(jù)泄露源碼開發(fā)出來的，還是它本身就是泄漏的源碼。”
根據(jù)研究人員的介紹，HeroRat目前主要通過偽裝成第三方應(yīng)用商店中的社交媒體App和即時(shí)消息App來進(jìn)行傳播。目前受影響最嚴(yán)重的地區(qū)為伊朗，該地區(qū)的惡意軟件主要通過聲稱提供免費(fèi)的比特幣、免費(fèi)的聯(lián)網(wǎng)資源和社交媒體粉絲來吸引目標(biāo)用戶的安裝。

ESET在對(duì)HeroRat進(jìn)行分析時(shí)發(fā)現(xiàn)了一個(gè)非常奇怪的行為，即在目標(biāo)設(shè)備上安裝并運(yùn)行之后，它會(huì)顯示一個(gè)小的彈窗并提示用戶該應(yīng)用無法在設(shè)備上運(yùn)行，因此很多用戶會(huì)選擇直接卸載它。卸載之后，應(yīng)用圖標(biāo)會(huì)消失，很多用戶會(huì)認(rèn)為已經(jīng)卸載成功了，但其實(shí)攻擊者早就已經(jīng)拿到了目標(biāo)設(shè)備的遠(yuǎn)程控制權(quán)限。
攻擊者可以利用Telegram bot來控制受感染設(shè)備，并執(zhí)行例如數(shù)據(jù)提取和音頻/視頻錄制等大量命令。
分析報(bào)告中寫到：“該惡意軟件具備多種間諜工具以及數(shù)據(jù)提取功能，其中包括攔截和發(fā)送短信消息、撥打電話、提取通訊錄、音頻/視頻記錄、屏幕截圖、獲取設(shè)備地理位置以及控制設(shè)備設(shè)置等等。”

HeroRat的源代碼基本售價(jià)為650美元，并根據(jù)用戶所需要的功能，該惡意軟件還分別提供了青銅版、白銀版和黃金版三個(gè)升級(jí)版本，每個(gè)版本分別需要加價(jià)25、50和100美元。