By | March 22, 2018

המומחים ב- Palo Alto רשתות למצוא סוס טרויאני אנדרואיד חדש הנקרא TeleRAT. הסוס הטרויאני משתמש מברק בוט API עבור הפקודה ואת הבקרה (C & C) שרת תקשורת נתונים באזור.

הסוס הטרויאני TeleRAT אמור לבוא מאיראן, הוא תוקף בעיקר משתמשים האיראני. על פי החוקרים, יש דמיון בין TeleRAT לבין עוד טרויאני אנדרואיד בשם IRRAT, אשר גם ממנף בוט של המברק API עבור C & C תקשורת.

“מברק הרובוטים הם חשבונות מיוחדים שאינם דורשים מספר טלפון כדי ההתקנה משמשים בדרך כלל כדי להעשיר את המברק צ’אטים עם תוכן משירותים חיצוניים או כדי לקבל הודעות מותאמות אישית חדשות.” קורא את ניתוח שפורסמו על-ידי רשתות PaloAlto.

הסוס הטרויאני IRRAT יכול לגנוב מידע ליצירת קשר, רשימת חשבונות גוגל רשום על התקנים, ו SMS היסטוריה. התוכנה הזדונית הוא גם מסוגל לצלם תמונות עם חזית הפונה ואת הגב מול המצלמות.

הנתונים הגנובים שמר על סדרה של קבצים על כרטיס SD של הטלפון וכי נשלח לשרת העלאת אחרי זה. בינתיים, IRRAT טרויאני שהדוחות בוט מברק, מסתיר את הסמל שלו מתפריט app של הטלפון, פועלת ברקע מחכה עוד פקודות.

הסוס הטרויאני TeleRAT פועל בצורה שונה. היא יוצרת שני קבצים במכשיר, telerat2.txt אשר מכיל מידע על התקן (קרי מספר גירסת מטען אתחול מערכת הזיכרון הזמין, מספר הליבות של המעבד), thisapk_slm.txt ערוץ המברק המכיל רשימה של פקודות.

כאשר מותקן על המערכת, קוד זדוני מיידע מיד האקרים על זה על ידי שליחת הודעה אל בוט מברק באמצעות בוט מברק API עם התאריך והשעה. במקביל, הסוס הטרויאני שמפעיל שירות רקע שמאזין ששינויי ללוח, ואז, היישום מביאה עדכונים מ בוט מברק API כל שנייה 4.6 מקשיב לפקודות מספר שנכתב ב פרסית.

TeleRAT הוא גם מסוגל לקבל פקודות, לתפוס את אנשי הקשר, מיקום, app רשימת או את התוכן של הלוח; לקבל מידע טעינה; רשימת קבצים או שורש רשימת קבצים; להוריד קבצים, יצירת קשר, להגדיר טפט, לקבל או לשלוח SMS; לצלם; לקבל או לבצע שיחות; פנה הטלפון שותק או בקול רם; כבה את המסך הטלפון; מחיקת אפליקציות; לגרום לטלפון לרטוט; לגנוב תמונות מהגלריה.

בנוסף, התוכנה הזדונית TeleRAT הוא מסוגל העלאת נתונים exfiltrated באמצעות שיטת API של מברק sendDocument כדי להתחמק מאיתור מבוססת רשת.

הסוס הטרויאני יוכלו לקבל עדכונים בשתי דרכים – שיטת getUpdates (אשר חושף היסטוריה של כל הפקודות הנשלחות בוט, כולל של שמות משתמשים בפקודות שמקורם), ושימוש Webhook (בוט ניתן לנתב מחדש עדכונים ל- HTTPS URL שצוינה על-ידי אמצעים של Webhook).

TeleRAT מופץ באמצעות יישומים לגיטימיים לכאורה בחנויות אפליקציות אנדרואיד וגם דרך ערוצי מברק האיראני הנפשע והן לגיטימית. על פי PaloAlto רשתות, סך של משתמשים 2,293 כבר נדבקו, ביותר מהם יש מספרי טלפון האיראני.

Leave a Reply

Your email address will not be published. Required fields are marked *