TeleRAT Android Trojan utiliza Bot Telegram API C & C Communication

in #technology7 years ago

Fuente De Imagen

TeleRAT es el nombre del último troyano de Android descubierto por los investigadores de Palo Alto Networks. El troyano está diseñado para usar la API de telegramas Bot para comunicarse con su servidor de comando y control a los efectos de los datos de exfiltración.

 El malware parece ser creado en Irán, o al menos está dirigido a personas de ese país. Hay bastantes similitudes entre los investigadores que encontraron TeleRAT e IRRAT Trojan, que también abusaron de la API del telegrama bot para sus comunicaciones.

Según informes anteriores, se sabe que Bot Telegram API ya se utilizó para recopilar información como SMS, historial de llamadas y listas de archivos de dispositivos Android específicos.

La mayoría de las aplicaciones que vimos se disfrazan como una aplicación que le dice cuántas vistas recibió su perfil de telegrama, ni que decir tiene que la información proporcionada es inexacta ya que Telegram no llena esta información, escribieron los investigadores en su informe.

¿Cómo funciona la función TeleRAT?

El troyano crea y luego llena varios archivos en la tarjeta SD del dispositivo y luego los envía al servidor de descarga. Aquí está la lista de archivos:

[IMEI] numbers.txt »: Información de contacto
"[IMEI] acc.txt": lista de cuentas de Google en el teléfono
"[IMEI] sms.txt": Historial de SMS
jpg: Foto tomada con la cámara desde el frente
image.jpg: Foto tomada con la cámara en la parte posterior


Una vez hecho esto, el troyano informa al robot del telegrama con la ayuda de una etiqueta.

¿Cómo encuentran los investigadores a TeleRAT? Mientras examinaba muestras de IRRAT, el equipo descubrió otra familia de Android RAT que parecía ser de Irán. La parte no solo usa la API de telegramas para comunicaciones de comando y control sino que también extravía información robada.

No es sorprendente que TeleRAT sea probablemente una actualización de IRRAT porque elimina la posibilidad de detección basada en red en general en función del tráfico a los servidores de descarga conocidos.

"Además de los comandos adicionales, este nuevo gran diferenciador de la familia en IRRAT es que también los datos de carga exfiltrados utilizan el método de telegrama API sendDocument", dijo el informe de Palo Alto.

Además, el troyano puede actualizarse de dos maneras: mediante el método getUpdates que revela el historial de todos los comandos enviados al bot y mediante el uso de un webhook.

En cuanto a las técnicas de distribución que utiliza, el troyano utiliza "aplicaciones aparentemente legítimas de tiendas de aplicaciones de Android de terceros". Según las estadísticas de infección proporcionadas por Palo Alto, 2,293 usuarios se han visto afectados por este malware, y el 82 por ciento de las víctimas tienen números de teléfono iraníes.

Saludos Amig@s de Steemit Hasta la Proxima..!

FUENTE

Sort:  

¡@untitledvzla! Muy bueno el contenido, sigue asi!

Esta publicación es apoyada por la comunidad de UNEEVERSO, para que al obtener votos automatizados pueda conseguir PROMOCIÓN GRATUITA y pueda darse a conocer a un público más grande. Este contenido lo merece, considera darle reesteem.

¿Te interesa, obtener upvotos y dar a conocer tu publicación?


Te invitamos a unirte a nuestra comunidad, cada día crece más y tu puedes crecer con nosotros.
¿Te interesa conocer sobre nuestro proyecto?: https://goo.gl/cuFExt
¿Te interesa conocer sobre nosotros y sobre actualizaciones de uneeverso.com?:
* Acceso a Uneeverso : https://www.uneeverso.com/registro
* Acceso temporal a Uneeverso : http://uneeverso-oficial.mircloud.host/registro
* Uneeverso en discordapp: https://discord.gg/Y5kM5Kj
* Siguenos: @blickyer @yunior.selbor @sweetvenon @arevaloarcadio @baudilio @jnavarrotovar

Congratulations! This post has been upvoted from the communal account, @minnowsupport, by UntitledVzla from the Minnow Support Project. It's a witness project run by aggroed, ausbitbank, teamsteem, theprophet0, someguy123, neoxian, followbtcnews, and netuoso. The goal is to help Steemit grow by supporting Minnows. Please find us at the Peace, Abundance, and Liberty Network (PALnet) Discord Channel. It's a completely public and open space to all members of the Steemit community who voluntarily choose to be there.

If you would like to delegate to the Minnow Support Project you can do so by clicking on the following links: 50SP, 100SP, 250SP, 500SP, 1000SP, 5000SP.
Be sure to leave at least 50SP undelegated on your account.

Coin Marketplace

STEEM 0.19
TRX 0.17
JST 0.030
BTC 80568.31
ETH 3220.00
USDT 1.00
SBD 2.80