Трояны научились воровать данные с помощью Telegram

«Крыса» в Telegram Эксперты по безопасности компании Palo Alto Networks выявили новую вредоносную программу для Android, которая использует API для ботов в Telegram для связи с контрольным сервером (C&C) и вывода данных с устройства жертвы. «Боты» в Telegram это специальные аккаунты, используемые, как правило, для подтягивания контента со сторонних сервисов или для отправки пользователям специализированных уведомлений и новостей. TeleRAT - не первый вредонос, эксплуатирующий API «ботов» Telegram для проведения атак на пользователей. Ранее экспертам уже попадалась программа IRRAT, которая, правда, использовала эти API только для связи с контрольным сервером. TeleRAT, в свою очередь, производит еще и эксфильтрацию данных. И TeleRAT, и IRRAT атакуют иранских пользователей, маскируясь, в том числе, под приложения, которые позволяют индексировать количество просмотров профиля в Telegram. Сервис не предоставляет такой функциональности в принципе. Шпион на службе коммерсантов TeleRAT создает и заполняет два файла - telerat2.txt (включающий всевозможные данные об устройстве - версию системного загрузчика, доступную память и количество процессорных ядер) и thisapk_slm.txt (содержит информацию о канале Telegram и список команд). После установки в системе вредонос уведомляет об этом злоумышленников, отправляя боту сообщение с текущей датой и временем. http://filearchive.cnews.ru/img/news/2018/03/26/tele600.jpg"> Найден троян для устройств на Android, который с помощью API-сервиса Telegram крадет данные со смартфонов После этого запускается фоновый процесс, который раз в 4,6 секунды проверяет поступление новых команд (передаваемых на языке фарси). Вредонос способен получать (и передавать) информацию о контактах, местоположении, списке приложений, содержимом буфера обмена. Кроме этого он способен загружать файлы, создавать новые контакты, устанавливать обои, получать и отправлять SMS, делать фотографии фотографий и управлять звонками. Троянец также может заставить телефон вибрировать в течение длительного времени - до 600 секунд непрерывно. API-метод sendDocument позволяет троянцу избегать обнаружения. В коде TeleRAT эксперты нашли имя разработчика, которое привело их к каналу Telegram ‘vahidmail67’. Этот канал занимается рекламой всевозможных сомнительных приложений, от накрутчиков для Instagtam до шифровальщиков-вымогателей. Нашлись также ссылки на программерские форумы в Иране, где продавалась библиотека средств управления ботами в Telegram. «Интересный пример того, как вредоносное приложение с типичной «шпионской» функциональностью распространяется «обычными» кибермошенниками, а не APT-акторами, - считает [b]Роман Гинятуллин[/b], эксперт по информационной безопасности компании SEC Consult Services. – В принципе, это доказывает, что инструментами, которые создавали условные «государственные хакеры», рано или поздно начинают пользоваться коммерчески-ориентированные киберзлоумышленники».[img]http://filearchive.cnews.ru/img/news/2018/03/26/tele600.jpg"> Найден троян для устройств на Android, который с помощью API-сервиса Telegram крадет данные со смартфонов После этого запускается фоновый процесс, который раз в 4,6 секунды проверяет поступление новых команд (передаваемых на языке фарси). Вредонос способен получать (и передавать) информацию о контактах, местоположении, списке приложений, содержимом буфера обмена. Кроме этого он способен загружать файлы, создавать новые контакты, устанавливать обои, получать и отправлять SMS, делать фотографии фотографий и управлять звонками. Троянец также может заставить телефон вибрировать в течение длительного времени - до 600 секунд непрерывно. API-метод sendDocument позволяет троянцу избегать обнаружения. В коде TeleRAT эксперты нашли имя разработчика, которое привело их к каналу Telegram ‘vahidmail67’. Этот канал занимается рекламой всевозможных сомнительных приложений, от накрутчиков для Instagtam до шифровальщиков-вымогателей. Нашлись также ссылки на программерские форумы в Иране, где продавалась библиотека средств управления ботами в Telegram. «Интересный пример того, как вредоносное приложение с типичной «шпионской» функциональностью распространяется «обычными» кибермошенниками, а не APT-акторами, - считает Роман Гинятуллин, эксперт по информационной безопасности компании SEC Consult Services. – В принципе, это доказывает, что инструментами, которые создавали условные «государственные хакеры», рано или поздно начинают пользоваться коммерчески-ориентированные киберзлоумышленники».