Image default
Security

Malware usa bot do Telegram para roubar informações do Android

Foi descoberto recentemente um malware para Android chamado TeleRAT, que está usando bots do Telegram para comandar e controlar malwares no Android e visa principalmente usuários iranianos.

O TeleRAT é uma versão atualizada do IRRAT, que rouba informações sensíveis, que variam de SMS, histórico de chamadas a listagens de arquivos dos dispositivos Android infectados.

No Telegram, bots são contas especiais que não exigem um número de telefone adicional para configurar e geralmente são utilizadas para enriquecer os bate-papos do Telegram com conteúdo de serviços externos ou para receber notificações e notícias personalizadas.

Uma vez que o IRRAT antigo tenha infectado vítimas com smartphones Android, ele continua trabalhando ao ficar populando o cartão SD do dispositivo com arquivos maliciosos e depois envia-os para um servidor remoto.

Como o TeleRAT tira proveito do bot do Telegram?

Após ser carregado nos arquivos da vítima como uma operação de pós-instalação, ele cria dois arquivos no diretório interno do aplicativo:

  • telerat2.txt – contém uma grande quantidade de informações sobre o dispositivo, incluindo o número da versão do Bootloader (o que carrega o boot) do sistema, o tamanho total e disponível na memória interna e externa, além da quantidade de cores de CPU.
  • thisapk_slm.txt – menciona um canal do Telegram e uma lista de comandos

Posteriormente, o TeleRAT informa os cibercriminosos se a instalação foi bem sucedida, ao enviar uma mensagem para um bot do Telegram (por meio da API do bot), juntamente com a data e hora atual da infecção.

De acordo com a Paloalto Networks, ao finalizar a operação, o TeleRAT ainda busca por atualizações da API do bot a cada 4,6 segundos.

O TeleRAT executa vários comandos no smartphone na vítima, como obter uma lista dos contatos, informações da área de transferência, localização, recebe mensagens SMS, ligações, etc (veja a lista completa neste post). Além disso, consegue realizar o upload de dados roubados utilizando o método sendDocument e elimina a possibilidade da detecção baseada em rede.

Código mostrando do método sendDocument da API do bot (Telegram)
Código mostrando do método sendDocument da API do bot (Telegram)

Olhando mais atentamente no código-fonte, vemos que os autores do malware não se preocuparam em ocultar a sua identidade, bem como não fazer publicidade por meio de um canal no Telegram chamado “vahidmail67”.

O malware é disseminado em várias lojas de aplicativos para Android de terceiros e compartilhado por canais iranianos do Telegram (verdadeiros e outros com objetivos maliciosos), disseram os pesquisadores.

Fonte:

https://gbhackers.com/telerat-malware-abused-telegram-bot-api/

TeleRAT: Another Android Trojan Leveraging Telegram’s Bot API to Target Iranian Users

Posts similares

Variante do ransomware Xpan se aproveita de servidores RDP para se disseminar

O Analista

Novo rootkit para Linux utiliza recursos de GPUs para se esconder

O Analista

Empresa de hacking de telefones sofre ataque

O Analista
O Analista_