O TeleRAT parece ter origiem no Irão. Os investigadores encontraram semelhantas com outro malware Android chamado IRRAT Trojan, que também usou a bot API do Telegram para comunicar com o C&C server.
“Telegram Bots are special accounts that do not require an additional phone number to setup and are generally used to enrich Telegram chats with content from external services or to get customized notifications and news.” reads the analysis published by PaloAlto networks. “And while Android malware abusing Telegram’s Bot API to target Iranian users is not fresh news (the emergence of a Trojan using this method called IRRAT was discussed in June and July 2017), we set out to investigate how these Telegram Bots were being abused to command and control malicious Android applications.”
O IRRAT é capaz de roubar informações de contacto, a lista de contas Google registadas no smartphone, o histórico de SMS e é também capaz de tirar fotografias usando as camaras do dispositivo.
Os dados roubados são armazenados numa uma série de ficheiros no cartão SD do dispositivo e, em seguida, envia-os para um servidor remoto. O malware do IRRAT comunica com um bot do Telegram, o seu icone é “escondido” do menu de aplicações Android e ele é sempre executado em background.
O TeleRAT opera de uma maneira difenrete. São criados dois ficheiros no dispositivo:
- telerat2.txt: contém informação sobre o dispositivo (versão, inicialização do sistema, memória disponível, os vários núcleos do processador, etc)
- thisapk_slm.txt: contém uma lista do Telegram e uma lista de possíveis comandos para execução.
Depois de instalado, pode comunicar com o bot e executar operações totalmente devastadoras. O TeleRAT também é capaz de fazer upload de dados sensíveis (p.ex., ficheiros) usando o método sendDocument API do Telegram, evitando assim ser detetado na rede.
“TeleRAT is an upgrade from IRRAT in that it eliminates the possibility of network-based detection that is based on traffic to known upload servers, as all communication (including uploads) is done via the Telegram bot API.” continues the analysis.
“Aside from additional commands, this new family’s main differentiator to IRRAT is that it also uploads exfiltrated data using Telegram’s sendDocument API method.”
Este trojan é distribuído por meio de aplicações aparentemente legítimas em marketplaces Android de terceiros e também por canais de telegramas iranianos legítimos e nefastos. De acordo com as redes PaloAlto, foram infetados certa de 2.293 utilizadores, a maioria deles (82%) com números de telefone iranianos.