APC
HeroRat, il malware per Android che si diffonde tramite Telegram

HeroRat, il malware per Android che si diffonde tramite Telegram

Veicolato tramite app store di terze parti, social media e app di messaggistica, HeroRat possiede numerose funzioni di spionaggio e di estrapolazione dei file.

Pubblicato: 25/06/2018 15:45

di: Redazione BitCity.it

   

I ricercatori di ESET hanno individuato una nuova famiglia di RAT (Remote Administration Tool) per Android, che ha abusato del protocollo Telegram da agosto 2017 e il cui codice sorgente è disponibile gratuitamente da marzo 2018.
Questa famiglia di malware dispone di un'ampia gamma di funzioni di spionaggio e di estrapolazione dei file, tra cui l'intercettazione di messaggi di testo e contatti, l'esecuzione di chiamate, la registrazione di audio, il rilevamento della posizione, il controllo delle impostazioni del dispositivo e l'invio di messaggi di testo.
HeroRat, una delle varianti del malware individuate dai ricercatori di ESET, è offerto in vendita su un canale Telegram dedicato, nonostante il codice sorgente sia ora disponibile gratuitamente; non è chiaro se questa variante sia stata creata dal codice sorgente trapelato, o se viceversa sia la versione originale del malware.
Per diffondere HeroRat i cybercriminali utilizzano diverse tecniche, come app store di terze parti, social media e app di messaggistica.
Il malware, che non è presente su Google Play, è attualmente distribuito principalmente in Iran, grazie ad un'app che promuove Bitcoin e connessioni Internet gratuiti, oltre che followers aggiuntivi sui social media. Il malware funziona su tutte le versioni Android: gli utenti attirati nella trappola di HeroRat devono accettare le autorizzazioni richieste dall'app infetta, che a volte include l'attivazione dell'app stessa come amministratore del dispositivo. Dopo che il malware è stato installato e lanciato sul dispositivo della vittima, viene visualizzato un piccolo popup che dichiara che l'app non può essere eseguita e verrà quindi disinstallata. Dopo che la disinstallazione è apparentemente completata, l'icona dell'app scompare. Ed è proprio questo il momento in cui i cybercriminali ottengono l'accesso al dispositivo della vittima e lo controllano tramite un bot, configurato e gestito dai cybercriminali tramite l'app Telegram.
A differenza dei RAT per Android di Telegram precedentemente analizzati, che sono scritti nello standard Android Java, questa nuova famiglia di malware è stata sviluppata da zero in C # utilizzando il framework Xamarin, una rara combinazione per malware Android. I comandi di comunicazione e l'esfiltrazione dei dati dai dispositivi compromessi sono entrambi interamente coperti dal protocollo Telegram, una misura volta a evitare il rilevamento del malware.

Ultime News
Da TomTom un nuovo servizio per ridurre il traffico

Da TomTom un nuovo servizio per ridurre il traffico

TomTom lancia Origin/Destination Analysis per una migliore pianificazione urbanistica. Un nuovo...

Allarme polizia postale: estorsione via mail per aver visitato siti porno

Allarme polizia postale: estorsione via mail per aver visitato siti porno

I cybercriminali minacciano gli utenti di divulgare a tutti il tipo di siti visitati e la...

Giovani consumatori digitali italiani: appassionati di elettronica e videogames

Giovani consumatori digitali italiani: appassionati di elettronica e videogames

idealo ritrae i consumatori digitali tra i 18 e i 24 anni. La città con più “giovani digital” è...

Accordo LVenture Group - Facebook: nell'hub romano arriva 'Binario F from Facebook'

Accordo LVenture Group - Facebook: nell'hub romano arriva 'Binario F from Facebook'

Siglato un accordo tra LVenture Group e Facebook per ospitare alla Stazione Termini il nuovo...

Nextdoor, l'app per vicini di casa, arriva in Italia

Nextdoor, l'app per vicini di casa, arriva in Italia

La app di quartiere che facilita e promuove le relazioni locali attiva in più di 200.000...

Google Pay in Italia, ecco le banche aderenti (prossimamente anche Poste Italiane)

Google Pay in Italia, ecco le banche aderenti (prossimamente anche Poste Italiane)

Per ora le banche che supporteranno il servizio sono: Banca Mediolanum, Boon, HYPE, Nexi, N26,...

I piu' letti
Per Voi


Uspi BitCity e' una testata giornalistica registrata presso il tribunale di Como , n. 21/2007 del 11/10/2007 - Iscrizione ROC n. 15698

G11 MEDIA S.R.L. - Sede Legale Via NUOVA VALASSINA, 4 22046 MERONE (CO) - P.IVA/C.F.03062910132
Registro imprese di Como n. 03062910132 - REA n. 293834 CAPITALE SOCIALE Euro 30.000 i.v.

G11Media