TeleRAT, el troyano que utiliza la API de Telegram para exfiltrar información


Investigadores de Palo Alto Networks analizan una nueva familia de RAT que utiliza exclusivamente la API de Telegram para enviar y recibir la información.


TeleRAT es un troyano para Android diseñado para robar información. Sus objetivos principales parecen apuntar a ciudadanos iraníes y guarda bastante relación con otro troyano de similares características y objetivos: IRRAT.

La novedad que introduce esta nueva familia es que utiliza únicamente la API de Telegram para comunicarse con el C2 para recibir comandos y enviar la información.

El malware funciona de la siguiente forma:

En primer lugar se crean los archivos 'telerat2.txt' con información técnica sobre el dispositivo. Y 'thisapk_slm.txt' con la dirección del canal de Telegram y una lista de comandos aceptados.

Una vez instalado en el sistema, el malware envía a los atacantes un mensaje con la fecha y la hora, indicando que está operativo. A la vez, el malware inicia varios servicios que monitorizan el portapapeles del dispositivo y otros que quedan a la espera de actualizaciones desde la API de Telegram.

Utilizando esta vía de comunicación los atacantes pueden dar ordenes al troyano para recibir diversa información: la lista de contactos, su localización, información sobre la batería, el portapapeles, etc. También permite exfiltrar ficheros utilizando el método 'sendDocument'. Al utilizar exclusivamente la API de Telegram hace más difícil la detección de estos comportamientos

Fuente: https://researchcenter.paloaltonetworks.com/

El malware se ha distribuido en algunos markets iraníes y canales de Telegram haciéndose pasar por aplicaciones legítimas con nombres como "Telegram Finder" o "Profile Cheer".


Francisco Salido

Publicar un comentario

0 Comentarios