Descubren un malware capaz de administrar teléfonos con Android infectados a través de Telegram
Investigadores de la empresa de seguridad informática Eset descubrieron una nueva familia de RAT (herramienta de administración remota) para Android que aprovechan el protocolo de la aplicación de mensajería instantánea Telegram para el control y filtración de datos, que ha estado propagándose, como mínimo, desde agosto de 2017.
En marzo de 2018, su código fuente pasó a estar disponible de forma gratuita a través de distintos canales, y como resultado, cientos de variantes paralelas del malware han estado circulando de manera activa, informó la empresa en un comunicado de prensa.
Sin embargo, una de estas variantes es diferente al resto (a pesar de que el código fuente está disponible de forma gratuita) y está a la venta en un canal dedicado de Telegram bajo el nombre comercial de HeroRat; donde aparece disponible bajo tres modelos de precios según su funcionalidad y viene, además, con un canal de soporte para video. No está claro si esta variante fue creada a partir del código fuente filtrado o si se trata del "original" cuyo código fuente se filtró.
Para lograr que los usuarios descarguen el RAT, los atacantes intentan despertar el interés de la víctima y lo propagan bajo distintos tipos de disfraces en tiendas de aplicaciones de terceros, redes sociales y aplicaciones de mensajería.
se observó una mayor distribución del malware en Irán, bajo aplicaciones que prometen bitcoins gratuitos, conexiones a Internet gratuitas y seguidores adicionales en redes sociales. El malware no se ha visto en Google Play.
El malware corre en todas las versiones Android: sin embargo, los usuarios afectados deben aceptar permisos requeridos por la aplicación (algunas veces incluye activar la aplicación como administrador), y es aquí donde la ingeniería social hace su juego.
Una vez que el malware se instala y ejecuta en el dispositivo de la víctima, una ventana emergente aparecerá notificando que la aplicación no puede ejecutarse en el dispositivo y que por lo tanto será desinstalada.
En las variantes analizadas, el falso mensaje de desinstalación puede desplegarse en inglés o en persa, dependiendo de la configuración del idioma en el dispositivo de la víctima.
Una vez que la desinstalación parece completarse, el ícono de la aplicación desaparece. Sin embargo, del lado del atacante, una nueva víctima acaba de registrarse.
Una vez que ganó acceso al dispositivo de la víctima, el atacante puede lograr controlar el dispositivo utilizando los comandos Bots de Telegram. Cada dispositivo comprometido es controlado y operado por los atacantes utilizado la aplicación.
El malware tiene un amplio abanico de capacidades para el espionaje y la filtración de archivos, incluyendo la intercepción de mensajes de texto y contactos; envío de mensajes de texto y realización de llamadas; grabación de audio y pantalla; obtener localización del dispositivo, y control de la configuración del dispositivo.
Las funcionalidades de HeroRat están segmentadas en tres paquetes -bronce, plata y oro- que se ofrecen para la venta por 25, 50 y 100 dólares. El código fuente se ofrece por 650 dólares por el propio autor.
La accesibilidad a las capacidades del malware aparece con forma de botones clickeables en la interfaz del bot de Telegram. De esta manera, los atacantes pueden controlar los dispositivos de las víctimas solo con apretar los botones disponibles en la versión del malware que están operando.
Con el código fuente del malware disponible de forma gratuita, nuevas variantes pueden desarrollarse y expandirse en cualquier parte del mundo.