TeleRAT, el troyano que utiliza la API de Telegram para exfiltrar información
TeleRAT es un troyano para Android diseñado para robar información. Sus objetivos principales parecen apuntar a ciudadanos iraníes y guarda bastante relación con otro troyano de similares características y objetivos: IRRAT.
La novedad que introduce esta nueva familia es que utiliza únicamente la API de Telegram para comunicarse con el C2 para recibir comandos y enviar la información.
El malware funciona de la siguiente forma:
En primer lugar se crean los archivos ‘telerat2.txt’ con información técnica sobre el dispositivo. Y ‘thisapk_slm.txt’ con la dirección del canal de Telegram y una lista de comandos aceptados.
Una vez instalado en el sistema, el malware envía a los atacantes un mensaje con la fecha y la hora, indicando que está operativo. A la vez, el malware inicia varios servicios que monitorizan el portapapeles del dispositivo y otros que quedan a la espera de actualizaciones desde la API de Telegram.
Utilizando esta vía de comunicación los atacantes pueden dar ordenes al troyano para recibir diversa información: la lista de contactos, su localización, información sobre la batería, el portapapeles, etc. También permite exfiltrar ficheros utilizando el método ‘sendDocument’. Al utilizar exclusivamente la API de Telegram hace más difícil la detección de estos comportamientos
 |
| Fuente: https://researchcenter.paloaltonetworks.com/ |
El malware se ha distribuido en algunos markets iraníes y canales de Telegram haciéndose pasar por aplicaciones legítimas con nombres como “Telegram Finder” o “Profile Cheer”.
Powered by WPeMatico
