• 24/12/2024

Descubren un malware capaz de administrar teléfonos con Android infectados a través de Telegram

Tiene un amplio abanico de capacidades para el espionaje y la filtración de archivos, incluyendo la intercepción de mensajes de texto y contactos
22/06/2018 - 10:05hs

Investigadores de la empresa de seguridad informática Eset descubrieron una nueva familia de RAT (herramienta de administración remota) para Android que aprovechan el protocolo de la aplicación de mensajerí­a instantánea Telegram para el control y filtración de datos, que ha estado propagándose, como mí­nimo, desde agosto de 2017.

En marzo de 2018, su código fuente pasó a estar disponible de forma gratuita a través de distintos canales, y como resultado, cientos de variantes paralelas del malware han estado circulando de manera activa, informó la empresa en un comunicado de prensa.

Sin embargo, una de estas variantes es diferente al resto (a pesar de que el código fuente está disponible de forma gratuita) y está a la venta en un canal dedicado de Telegram bajo el nombre comercial de HeroRat; donde aparece disponible bajo tres modelos de precios según su funcionalidad y viene, además, con un canal de soporte para video. No está claro si esta variante fue creada a partir del código fuente filtrado o si se trata del "original" cuyo código fuente se filtró.

Para lograr que los usuarios descarguen el RAT, los atacantes intentan despertar el interés de la ví­ctima y lo propagan bajo distintos tipos de disfraces en tiendas de aplicaciones de terceros, redes sociales y aplicaciones de mensajerí­a.

se observó una mayor distribución del malware en Irán, bajo aplicaciones que prometen bitcoins gratuitos, conexiones a Internet gratuitas y seguidores adicionales en redes sociales. El malware no se ha visto en Google Play.

El malware corre en todas las versiones Android: sin embargo, los usuarios afectados deben aceptar permisos requeridos por la aplicación (algunas veces incluye activar la aplicación como administrador), y es aquí­ donde la ingenierí­a social hace su juego.

Una vez que el malware se instala y ejecuta en el dispositivo de la ví­ctima, una ventana emergente aparecerá notificando que la aplicación no puede ejecutarse en el dispositivo y que por lo tanto será desinstalada.

En las variantes analizadas, el falso mensaje de desinstalación puede desplegarse en inglés o en persa, dependiendo de la configuración del idioma en el dispositivo de la ví­ctima.

Una vez que la desinstalación parece completarse, el í­cono de la aplicación desaparece. Sin embargo, del lado del atacante, una nueva ví­ctima acaba de registrarse.

Una vez que ganó acceso al dispositivo de la ví­ctima, el atacante puede lograr controlar el dispositivo utilizando los comandos Bots de Telegram. Cada dispositivo comprometido es controlado  y operado por los atacantes utilizado la aplicación.

El malware tiene un amplio abanico de capacidades para el espionaje y la filtración de archivos, incluyendo la intercepción de mensajes de texto y contactos; enví­o de mensajes de texto y realización de llamadas; grabación de audio y pantalla; obtener localización del dispositivo, y control de la configuración del dispositivo.

Las funcionalidades de HeroRat están segmentadas en tres paquetes -bronce, plata y oro- que se ofrecen para la venta por 25, 50 y 100 dólares. El código fuente se ofrece por 650 dólares por el propio autor.

La accesibilidad a las capacidades del malware aparece con forma de botones clickeables en la interfaz del bot de Telegram. De esta manera, los atacantes pueden controlar los dispositivos de las ví­ctimas solo con apretar los botones disponibles en la versión del malware que están operando.

Con el código fuente del malware disponible de forma gratuita, nuevas variantes pueden desarrollarse y expandirse en cualquier parte del mundo.