HeroRAT:一款全新的基于Telegram的安卓远程访问木马

ESET的恶意软件研究专家近期发现了一种新型的AndroidRAT,并将其命名为HeroRat,这款恶意软件利用了Telegram协议来实现远程命令控制以及数据提取。

实际上,HeroRat并不是第一款利用Telegram协议的恶意软件,之前还曾出现过例如TeleRAT和IRRAT这样类似的恶意软件。

HeroRat从2017年8月份就开始在全世界传播了,而在2018年3月份它的源代码在Telegram Hacking Channels中被发布了出来,任何人都可以免费获取到,这也就意味着网络犯罪分子可以根据自己的需要开发出相应的变种。

不过,HeroRat跟其他借鉴相同代码的变种非常不同,HeroRat是第一款基于Telegram并使用了Xamarin框架的恶意软件,它利用Telesharp库来创建Telegram bot,并采用C#完成了所有的开发,而其他的恶意软件都是采用Java编写的。

根据ESET发布的分析报告:“虽然原版代码已经开源,但这款RAT仍在特定的Telegram channel上进行出售,而且有三种价格模型可选择。需要注意的是,我们现在还无法确定这款RAT是根据泄露源码开发出来的,还是它本身就是泄漏的源码。”

根据研究人员的介绍,HeroRat目前主要通过伪装成第三方应用商店中的社交媒体App和即时消息App来进行传播。目前受影响最严重的地区为伊朗,该地区的恶意软件主要通过声称提供免费的比特币、免费的联网资源和社交媒体粉丝来吸引目标用户的安装。

ESET在对HeroRat进行分析时发现了一个非常奇怪的行为,即在目标设备上安装并运行之后,它会显示一个小的弹窗并提示用户该应用无法在设备上运行,因此很多用户会选择直接卸载它。卸载之后,应用图标会消失,很多用户会认为已经卸载成功了,但其实攻击者早就已经拿到了目标设备的远程控制权限。

攻击者可以利用Telegram bot来控制受感染设备,并执行例如数据提取和音频/视频录制等大量命令。

分析报告中写到:“该恶意软件具备多种间谍工具以及数据提取功能,其中包括拦截和发送短信消息、拨打电话、提取通讯录、音频/视频记录、屏幕截图、获取设备地理位置以及控制设备设置等等。”

HeroRat的源代码基本售价为650美元,并根据用户所需要的功能,该恶意软件还分别提供了青铜版、白银版和黄金版三个升级版本,每个版本分别需要加价25、50和100美元。

* 参考来源:securityaffairs,FB小编Alpha_h4ck编译,转载请注明来自FreeBuf.COM

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2018-07-10

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏Python与爬虫

从爬虫角度来说下360快视频事件

360快视频事件 最开始好像是东方华灯宴的视频被发现被盗用,然后众用户排查发现大量B站视频被快视频盗用,连用户和评论也大量照搬,并有很多B站用户发现使用B站的用...

375130
来自专栏我是极客人

IT业界 |关于IT业界的新闻,风向标

自王柏元的博客开通以来,笔者就不止一次地受到恶意注册、机器人发广告评论的骚扰。昨天收到一个广告评论,发现评论用户填写的网站IP和用户IP相同的,无疑,这说明这是...

12940
来自专栏小白课代表

看书必备!安卓+iOS 看小说神器!!

96130
来自专栏程序员互动联盟

搞linux开发的能拿多少钱?

古人有个很恰当的比喻,无襄阳荆州不足以用武,无汉中则巴蜀不足以存险,无关中河南不能以豫居,形势使然也。操作系统亦是如此:无Linux,操作系统不能以服务器自居。...

44980
来自专栏即时通讯技术

Android P正式版即将到来:后台应用保活、消息推送的真正噩梦

对于广大Android开发者来说,Android O(即Android 8.0)还没玩热,Andriod P(即Andriod 9.0)又要来了。

91230
来自专栏CSDN技术头条

MongoDB:逐渐变得无关紧要

Henrique Lobo Weissmann是一位来自于巴西的软件开发者,他是itexto公司的联合创始人,这是一家咨询公司。Henrique在博客上会谈很多...

202100
来自专栏阮一峰的网络日志

云主机是什么?

一、共享主机和云主机 从互联网诞生至今,大部分站长都是从"共享主机"(shared hosting)开始学习建站的。所谓"共享主机",就是一台服务器上有许多网站...

1.3K110
来自专栏SAP最佳业务实践

SAP最佳业务实践:SD–销售订单处理:自库存销售(109)-2销售订单

销售订单的信用管理检查 信用管理 (108) 在此过程中,已为使用的客户设置了信用限额。 完成该业务情景的业务流程文档 中描述的所有活动:信用管理 (108)。...

43990
来自专栏FreeBuf

小心!黑客组织KovCoreG正在利用虚假的浏览器和Flash更新来传播恶意软件

近期,安全研究人员发现了一个名叫KovCoreG的黑客组织正在利用伪造的浏览器及Flash更新来欺骗用户安装Kovter恶意软件。 ? 研究人员表示,攻击者使用...

23950
来自专栏BIT泽清

2018年苹果审核指南最新更新条款②

在上面文章已经给大家讲解了2018年苹果审核指南最新更新条款①,最近一直在忙,所以忘记给大家更了,哈哈,抱歉~让大家久等了.下面给大家继续分享2018年苹果审核...

86740

扫码关注云+社区

领取腾讯云代金券