Нове сімейство шкідливих програм використовує Telegram для управління пристроями користувачів

Компанія ESET — лідер у галузі інформаційної безпеки — виявила нове сімейство інструментів для віддаленого управління (RAT), які несанкціоновано використовують протокол Telegram для управління та збору даних із пристроїв Android.

Шкідливі програми поширюються щонайменше з серпня 2017 року. Їх вихідний код став доступний безкоштовно для хакерських каналів Telegram, і в результаті в реальному середовищі з’явилися сотні паралельних варіантів загроз.

Один з цих зразків відрізняється від решти. Незважаючи на вільно доступний вихідний код, варіант є у продажу під назвою HeroRat на спеціальному каналі Telegram. Загроза доступна у трьох моделях ціноутворення залежно від функціональності та оснащена відеоканалом підтримки.

Поширюється шкідливе програмне забезпечення через сторонні магазини додатків, соціальні медіа та додатки для обміну повідомленнями. Зокрема зловмисники заманюють жертв завантажувати RAT, пропонуючи безкоштовні біткойни, безкоштовні Інтернет-з'єднання та додаткові підписники в соціальних мережах. Спеціалісти ESET зафіксували поширення шкідливого програмного забезпечення в основному в Ірані. Також варто зазначити, що у Google Play загрози виявлено не було.

Шкідливе програмне забезпечення запускається у всіх версіях Android, однак користувачам необхідно приймати дозволи, іноді включно з активацією додатка як адміністратора пристрою.

Після встановлення та запуску шкідливого програмного забезпечення на пристрої жертви з'являється невелике спливаюче вікно з повідомленням, що додаток не може працювати на пристрої, і тому його буде видалено. Після так званого «видалення» іконка програми зникає, надалі загроза продовжує свою діяльність приховано.

Отримавши доступ до пристрою жертви, зловмисники використовують функціонал бота Telegram для управління новим пристроєм. Кожен інфікований телефон контролюється через бот та управляється зловмисниками за допомогою додатка Telegram.

Шкідлива програма має широкий спектр можливостей для шпигунства та збору файлів, включаючи перехоплення текстових повідомлень і контактів, надсилання текстових повідомлень та здійснення дзвінків, запис звуку та екрана, отримання місця розташування пристрою та управління налаштуваннями пристрою.

З метою уникнення виявлення передача команд та збір файлів з інфікованих пристроїв здійснюється повністю за допомогою протоколу Telegram.

Оскільки вихідний код шкідливого програмного забезпечення нещодавно був доступним безкоштовно, у будь-якій точці світу могли бути розроблені та розгорнуті нові зразки. У разі необхідності перевірки Вашого пристрою на наявність загрози необхідно просканувати телефон за допомогою надійного рішення для захисту мобільних пристроїв. Продукти ESET виявляють цю загрозу як Android/Spy.Agent.AMS та Android/Agent.AQO, а також блокують її.

Для запобігання інфікуванню подібним шкідливим програмним забезпеченням спеціалісти ESET рекомендують завантажувати додатки лише з офіційних магазинів (наприклад, Google Play), обов'язково ознайомлюватися з відгуками користувачі перед завантаженням та звертати увагу на дозволи, які Ви надаєте програмам як до, так і після інсталяції.