ESET的惡意軟件研究專家近期發現了一種新型的AndroidRAT,并將其命名為HeroRat,這款惡意軟件利用了Telegram協議來實現遠程命令控制以及數據提取。
實際上,HeroRat并不是第一款利用Telegram協議的惡意軟件,之前還曾出現過例如TeleRAT和IRRAT這樣類似的惡意軟件。
HeroRat從2017年8月份就開始在全世界傳播了,而在2018年3月份它的源代碼在Telegram Hacking Channels中被發布了出來,任何人都可以免費獲取到,這也就意味著網絡犯罪分子可以根據自己的需要開發出相應的變種。
不過,HeroRat跟其他借鑒相同代碼的變種非常不同,HeroRat是第一款基于Telegram并使用了Xamarin框架的惡意軟件,它利用Telesharp庫來創建Telegram bot,并采用C#完成了所有的開發,而其他的惡意軟件都是采用Java編寫的。
根據ESET發布的分析報告:“雖然原版代碼已經開源,但這款RAT仍在特定的Telegram channel上進行出售,而且有三種價格模型可選擇。需要注意的是,我們現在還無法確定這款RAT是根據泄露源碼開發出來的,還是它本身就是泄漏的源碼。”
根據研究人員的介紹,HeroRat目前主要通過偽裝成第三方應用商店中的社交媒體App和即時消息App來進行傳播。目前受影響最嚴重的地區為伊朗,該地區的惡意軟件主要通過聲稱提供免費的比特幣、免費的聯網資源和社交媒體粉絲來吸引目標用戶的安裝。
ESET在對HeroRat進行分析時發現了一個非常奇怪的行為,即在目標設備上安裝并運行之后,它會顯示一個小的彈窗并提示用戶該應用無法在設備上運行,因此很多用戶會選擇直接卸載它。卸載之后,應用圖標會消失,很多用戶會認為已經卸載成功了,但其實攻擊者早就已經拿到了目標設備的遠程控制權限。
攻擊者可以利用Telegram bot來控制受感染設備,并執行例如數據提取和音頻/視頻錄制等大量命令。
分析報告中寫到:“該惡意軟件具備多種間諜工具以及數據提取功能,其中包括攔截和發送短信消息、撥打電話、提取通訊錄、音頻/視頻記錄、屏幕截圖、獲取設備地理位置以及控制設備設置等等。”
HeroRat的源代碼基本售價為650美元,并根據用戶所需要的功能,該惡意軟件還分別提供了青銅版、白銀版和黃金版三個升級版本,每個版本分別需要加價25、50和100美元。
| 
