Un nuevo troyano de Android esta sacando ventaja del Api de Telegram BOT para comunicarse con un centro de comando y control para pode ex-filtrar informaciĆ³n. Los investigadores de Palo Alto Network dieron el aviso.

El malware fue apodado como TeleRAT, el cual fue creado por IrƔn y tiene como objetivo toda la gente de IrƔn. La amenaza es similar al RAT previamente observado llamado IRRAT, el cual utilizaba el API de Telegram para comunicarse con el C&C.

IRRAT


IRRAT se enmascara como una aplicaciĆ³n de ayuda para  los usuarios de Telegram para poder detectar la cantidad de vistas que tienen sus perfiles de Telegram( Hay que recalcar que Telegram no posee dicha caracterĆ­stica de apoyo al usuario). Posterior al primer arranque del malware, este crea una serie de archivos en la tarjeta SD del telĆ©fono los cuales son enviados a un servidor destino.

Los archivos que son enviados cuentan con informaciĆ³n de los contactos del usuario, incluyendo la lista de contactos de Google que estĆ” registrada en el telĆ©fono, historial de SMS, y fotografĆ­as tomadas con la cĆ”mara frontal y posterior del MĆ³vil. El Malware se reporta por medio del Bot de telegram, oculta su icono del menĆŗ de aplicaciones y sigue corriendo en background mientras espera instrucciones.

TeleRAT


Por otro lado, TeleRAT, crea dos archivos en el dispositivo, uno de estos contiene informaciĆ³n del dispositivo, y otro que contiene informaciĆ³n sobre los canales de telegram que posee el usuario.

Posterior a la instalaciĆ³n, el rat informa al atacante por medio del API del Bot de Telegram. El malware puede grabar contactos, ubicaciĆ³n, lista de aplicaciones, recibiendo y cargando informaciĆ³n, puede obtener la lista de archivos de sistema, la lista de archivos descargados por el usuario, crear nuevos contactos, configurar el fondo de pantalla. enviar o recibir SMS, tomar fotografĆ­as, enviar y recibir llamadas... en pocas palabras, puede despuĆ©s tomar control casi total del sistema.

Los investigadores afirman haber encontrado una imagen del botmaster probando la RAT, junto con mensajes exfiltrados para confirmarlo. El malware tambiĆ©n parece contener el nombre de usuario del desarrollador en el cĆ³digo, que lleva a los investigadores al canal Telegram 'vahidmail67', que anuncia aplicaciones para ayudar a los usuarios a obtener me gusta y seguidores en Instagram, ransomware e incluso el cĆ³digo fuente de una RAT sin nombre.