APC
HeroRat, il malware per Android che si diffonde tramite Telegram

HeroRat, il malware per Android che si diffonde tramite Telegram

Veicolato tramite app store di terze parti, social media e app di messaggistica, HeroRat possiede numerose funzioni di spionaggio e di estrapolazione dei file.

Pubblicato: 25/06/2018 15:45

di: Redazione BitCity.it

   

I ricercatori di ESET hanno individuato una nuova famiglia di RAT (Remote Administration Tool) per Android, che ha abusato del protocollo Telegram da agosto 2017 e il cui codice sorgente è disponibile gratuitamente da marzo 2018.
Questa famiglia di malware dispone di un'ampia gamma di funzioni di spionaggio e di estrapolazione dei file, tra cui l'intercettazione di messaggi di testo e contatti, l'esecuzione di chiamate, la registrazione di audio, il rilevamento della posizione, il controllo delle impostazioni del dispositivo e l'invio di messaggi di testo.
HeroRat, una delle varianti del malware individuate dai ricercatori di ESET, è offerto in vendita su un canale Telegram dedicato, nonostante il codice sorgente sia ora disponibile gratuitamente; non è chiaro se questa variante sia stata creata dal codice sorgente trapelato, o se viceversa sia la versione originale del malware.
Per diffondere HeroRat i cybercriminali utilizzano diverse tecniche, come app store di terze parti, social media e app di messaggistica.
Il malware, che non è presente su Google Play, è attualmente distribuito principalmente in Iran, grazie ad un'app che promuove Bitcoin e connessioni Internet gratuiti, oltre che followers aggiuntivi sui social media. Il malware funziona su tutte le versioni Android: gli utenti attirati nella trappola di HeroRat devono accettare le autorizzazioni richieste dall'app infetta, che a volte include l'attivazione dell'app stessa come amministratore del dispositivo. Dopo che il malware è stato installato e lanciato sul dispositivo della vittima, viene visualizzato un piccolo popup che dichiara che l'app non può essere eseguita e verrà quindi disinstallata. Dopo che la disinstallazione è apparentemente completata, l'icona dell'app scompare. Ed è proprio questo il momento in cui i cybercriminali ottengono l'accesso al dispositivo della vittima e lo controllano tramite un bot, configurato e gestito dai cybercriminali tramite l'app Telegram.
A differenza dei RAT per Android di Telegram precedentemente analizzati, che sono scritti nello standard Android Java, questa nuova famiglia di malware è stata sviluppata da zero in C # utilizzando il framework Xamarin, una rara combinazione per malware Android. I comandi di comunicazione e l'esfiltrazione dei dati dai dispositivi compromessi sono entrambi interamente coperti dal protocollo Telegram, una misura volta a evitare il rilevamento del malware.

Ultime News
Tydo, l'app per ricevere e dare consigli sui migliori professionisti in città

Tydo, l'app per ricevere e dare consigli sui migliori professionisti in città

La particolarità di Tydo è che per ogni raccomandazione conclusa positivamente l'utente che...

Tariffe a 28 giorni, Agcom: rimborso entro fine anno

Tariffe a 28 giorni, Agcom: rimborso entro fine anno

Entro il 31 dicembre 2018 gli operatori Tim, Vodafone, Wind Tre e Fastweb dovranno restituire in...

Un mare di droni: arrivano in Italia i robot marini e subacquei

Un mare di droni: arrivano in Italia i robot marini e subacquei

I maggiori esperti italiani di questo settore si daranno appuntamento in occasione del "Sea Drone...

Kaspersky Lab: i bambini online cercano soprattutto video e musica

Kaspersky Lab: i bambini online cercano soprattutto video e musica

I siti web di giochi si posizionano solo al quarto posto, generando solo il 9% delle richieste di...

Retelit e GO internet: accordo connettività ad alta velocità per il 5G

Retelit e GO internet: accordo connettività ad alta velocità per il 5G

La partnership con Retelit permetterà a GO internet di preparare la rete 4.5G verso il passaggio...

Tim sigla accordo strategico con fornitori Tlc

Tim sigla accordo strategico con fornitori Tlc

La partnership è stata siglata con Sirti, Sielte, Ceit, Sittel, Valtellina, Site.

I piu' letti
Per Voi


Uspi BitCity e' una testata giornalistica registrata presso il tribunale di Como , n. 21/2007 del 11/10/2007 - Iscrizione ROC n. 15698

G11 MEDIA S.R.L. - Sede Legale Via NUOVA VALASSINA, 4 22046 MERONE (CO) - P.IVA/C.F.03062910132
Registro imprese di Como n. 03062910132 - REA n. 293834 CAPITALE SOCIALE Euro 30.000 i.v.

G11Media