Seguridad

TeleRAT, el troyano que utiliza la API de Telegram para exfiltrar información

Investigadores de Palo Alto Networks analizan una nueva familia de RAT que utiliza exclusivamente la API de Telegram para enviar y recibir la información.


TeleRAT es un troyano para Android diseñado para robar información. Sus objetivos principales parecen apuntar a ciudadanos iraníes y guarda bastante relación con otro troyano de similares características y objetivos: IRRAT.

La novedad que introduce esta nueva familia es que utiliza únicamente la API de Telegram para comunicarse con el C2 para recibir comandos y enviar la información.

El malware funciona de la siguiente forma: 

En primer lugar se crean los archivos ‘telerat2.txt’ con información técnica sobre el dispositivo. Y ‘thisapk_slm.txt’ con la dirección del canal de Telegram y una lista de comandos aceptados.

Una vez instalado en el sistema, el malware envía a los atacantes un mensaje con la fecha y la hora, indicando que está operativo. A la vez, el malware inicia varios servicios que monitorizan el portapapeles del dispositivo y otros que quedan a la espera de actualizaciones desde la API de Telegram.

Utilizando esta vía de comunicación los atacantes pueden dar ordenes al troyano para recibir diversa información: la lista de contactos, su localización, información sobre la batería, el portapapeles, etc. También permite exfiltrar ficheros utilizando el método ‘sendDocument’. Al utilizar exclusivamente la API de Telegram hace más difícil la detección de estos comportamientos


Fuente: https://researchcenter.paloaltonetworks.com/


El malware se ha distribuido en algunos markets iraníes y canales de Telegram haciéndose pasar por aplicaciones legítimas con nombres como “Telegram Finder” o “Profile Cheer”.




Francisco Salido
fsalido@hispasec.com

Más información:

TeleRAT: Another Android Trojan Leveraging Telegram’s Bot API to Target Iranian Users:






Powered by WPeMatico

Gustavo Genez

Informático de corazón y apasionado por la tecnología. La misión de este blog es llegar a los usuarios y profesionales con información y trucos acerca de la Seguridad Informática.