Especialistas de segurança da Palo Alto Networks descobriram um trojan Android apelidado de TeleRAT que usa a API de bot do Telegram para se comunicar com um servidor de comando e controle e extrair os dados do usuário.

Ele é um trojan ao que parece voltado para usuários do Irã e especialista descobriram semelhanças por outro malware Android chamado IRRAT Trojan que também se aproveitava a API de bot do Telegram para comunicação com o servidor de comando e controle.

“Os bots do Telegram são contas especiais que não exigem um número de telefone adicional para configurar e geralmente são usadas para enriquecer as conversas no Telegram com conteúdo de serviços externos ou para receber notificações e notícias personalizadas.” – na análise publicada pela PaloAlto. “E este malware Android abusa da API de Bot do Telegram para direcionar os usuários iranianos não é uma novidade ( em junho e julho de 2017 surgiu um trojan usando este método chamado IRRAT ), decidimos investigar como esses bots estavam sendo usados para comandos e controlar aplicativos maliciosos do Android”.

O IRRAT é capaz de roubar informações de contato, uma lista de contas do Google registradas nos dispositivos, históricos de SM e também é capaz de tirar uma foto com as câmeras frontais e traseiras.

Os dados roubados são armazenados em uma série de arquivos no cartão SD do telefone, e, em seguida, enviados para um servidor de upload.

O Malware IRRAT é reportado a um bot do Telegram oculta o ícone no menu do aplicativo do telefone e é executado em segundo plano, para aguardar os comandos.

O TeleRAT opera de uma maneira um pouco diferente. Ele cria dos dois arquivos no dispositivo telerat2.txt contendo informações sobre o dispositivo ( ou seja, número do bootloader do sistema, memória disponível e os núcleos do processador ) e thisapk_slm.txt contendo um canal Telegram e uma lista de comandos.

Uma vez instalado o código malicioso informa aos invasores enviando uma mensagem para um bot Telegram via API com a data e hora atuais.

O malware também inicia um serviço em segundo plano que passa a esperar as alterações que sejam feitas na área de transferência e, finalmente, o aplicativo busca atualizações da API do Bot Telegram a cada 4,6 segundos esperando por comandos que são escritos em Farsi ( Persa ).

O TeleRAT é capaz de receber comandos para pegar contatos, localização, lista de aplicativos ou o conteúdo da área de transferência; receber informações de cobrança, obter lista de arquivos ou lista dos arquivos na raiz do sistema, baixar arquivos, criar contatos, definir papel de parede, receber ou enviar SMS, tirar fotos, receber ou fazer chamadas, colocar o telefone em silencioso ou aumentar volume, desligar a tela do telefone, excluir aplicativos, fazer com que o telefone vibre e coletar as fotos da galeria.

O TeleRAT também é capaz de fazer o upload dos dados coletados usando o método sendDocument da API do Telegram evitando assim a detecção que esteja monitorando os dados da rede.

“O TeleRAT é uma atualização do IRRAT pois elimina a possibilidade detecção baseada em tráfego de servidores de upload conhecidos já que toda a comunicação ( incluindo uploads ) é feita por meio da API do Telegram” – continua a análise.

“Além de comandos adicionais o principal diferencial desta nova família do IRRAT é que ele também envia os dados coletados usando o método sendDocument da API do Telegram”.

O malware é capaz de receber as atualizações de duas maneiras: o método getUpdates ( que expõe um histórico de todos os comandos enviados ao bot incluindo os nomes dos quais os comandos são originados ) e o uso de um Webhook ( atualizações do bot podem ser redirecionadas para uma url httpss especificada por meio de um webhook ).

O malware TeleRAT é distribuído por meio de aplicativos aparentemente legítimos em lojas de aplicativos Android de terceiros e também por canais do telegram.

De acordo com a PaloAlto um total de 2.293 usuários foram aparentemente infectados e a maioria deles ( 82% ) com números de telefone iranianos.

A campanha tem uma segurança bem pequena na operação e os especialistas descobriram uma imagem do botmaster testando o malware junto com mensagens que foram coletadas para confirmá-lo.

A análise do código malicioso revelou que ele contém o nome de usuário do desenvolvedor no código e fazer referência ao canal telegram “vahidmail67” que anuncia aplicativos para ajudar os usuários a obter curtidas e seguidores no Telegram, ransonware e até mesmo código fonte de um RAT ainda sem nome.

“Além do canal Telegram enquanto procurávamos por referências a certos componentes do TeleRAT deparamos com algo em um fórum de programadores iranianos que anunciava a venda de uma biblioteca de controle de bots no Telegram. O fórum é frequentado por alguns desenvolvedores cujo código é reuitilizado em grande parte das amostrar do TeleRAT que encontramos” , continua a análise.

Especialistas apontam que o TeleRAT reúne códigos escritos por vários desenvolvedores incluindo o código-fonte disponível gratuitamente através de canais do Telegram e cujo código é oferecido para venda em vários fóruns tornando difícil de atribuir o malware a um único desenvolvedor por trás do IRRAT ou TeleRAT.

Os especialistas concluíram que o malware pode ser o trabalho de vários atores possivelmente operando dentro do Irã.

Via Security Affairs