Компания ESET — лидер в области информационной безопасности — обнаружила новое семейство инструментов для удаленного управления (RAT), которые несанкционированно используют протокол Telegram для управления и сбора данных с устройств Android.
Вредоносные программы распространяются как минимум с августа 2017 года. Их исходный код стал доступен бесплатно для хакерских каналов Telegram, и в результате в реальной среде появились сотни параллельных вариантов угроз.
Один из этих образцов отличается от остальных. Несмотря на свободно доступный исходный код, вариант есть в продаже под названием HeroRat на специальном канале Telegram. Угроза доступна в трех моделях ценообразования в зависимости от функциональности и оснащена видеоканалом поддержки.
Распространяется вредоносное программное обеспечение через сторонние магазины приложений, социальные медиа и приложения для обмена сообщениями. В частности, злоумышленники заманивают жертв загружать RAT, предлагая бесплатные биткойны, бесплатные Интернет-соединения и дополнительные подписчики в социальных сетях. Специалисты ESET зафиксировали распространение вредоносных программ в основном в Иране. Также стоит отметить, что в Google Play угрозы обнаружено не было.
Вредоносное программное обеспечение запускается во всех версиях Android, однако пользователям необходимо принимать разрешения, иногда включая активацию приложения как администратора устройства.
После установки и запуска вредоносного программного обеспечения на устройстве жертвы появляется небольшое всплывающее окно с сообщением, что приложение не может работать на устройстве, и поэтому оно будет удалено. После так называемого «удаления» иконка программы исчезает, в дальнейшем угроза продолжает свою деятельность скрыто.
Получив доступ к устройству жертвы, злоумышленники используют функционал бота Telegram для управления новым устройством. Каждый зараженный телефон контролируется через бот и управляется злоумышленниками с помощью приложения Telegram.
Вредоносная программа имеет широкий спектр возможностей для шпионажа и сбора файлов, включая перехват текстовых сообщений и контактов, передачу текстовых сообщений и совершение звонков, запись звука и экрана, получение местоположения устройства и управление настройками устройства.
Для избегания обнаружения передача команд и сбор файлов с зараженных устройств осуществляется полностью с помощью протокола Telegram.
Поскольку исходный код вредоносного программного обеспечения недавно был доступен бесплатно, в любой точке мира могли быть разработаны и развернуты новые образцы. В случае необходимости проверки устройства на наличие угрозы необходимо просканировать телефон с помощью надежного решения для защиты мобильных устройств. Продукты ESET обнаруживают эту угрозу как Android/Spy.Agent.AMS и Android/Agent.AQO, а также блокируют ее.
Для предотвращения заражения подобным вредоносным программным обеспечением специалисты ESET рекомендуют загружать приложения только из официальных магазинов (например, Google Play), обязательно ознакомиться с отзывами пользователи перед загрузкой и обращать внимание на разрешения, которые Вы предоставляете программам как до, так и после установки.