Los investigadores de ESET descubrieron una nueva familia de RAT de Android (Herramientas de administración remota), que ha estado abusando del protocolo de Telegram para comando y control, y exfiltración de datos.

Investigando lo que al principio parecía ser una actividad incrementada por parte de IRRAT y TeleRAT informados anteriormente, identificamos una familia de malware completamente nueva que se ha extendido desde al menos agosto de 2017. En marzo de 2018, su código fuente se puso a disposición de forma gratuita en Telegram. pirateando canales, y como resultado, cientos de variantes paralelas del malware han estado circulando en la naturaleza.

Una de estas variantes es diferente del resto: a pesar del código fuente disponible libremente, se ofrece a la venta en un canal dedicado de Telegram, comercializado bajo el nombre HeroRat. Está disponible en tres modelos de precios según la funcionalidad, y viene con un canal de video de soporte. No está claro si esta variante se creó a partir del código fuente filtrado, o si es el "original" cuyo código fuente se filtró.

Los atacantes atraen a las víctimas para que descarguen la RAT al difundirla bajo varias apariencias atractivas, a través de tiendas de aplicaciones de terceros, redes sociales y aplicaciones de mensajería. Hemos visto el malware distribuido principalmente en Irán, como aplicaciones que prometen bitcoins gratis, conexiones a internet gratuitas y seguidores adicionales en las redes sociales. El malware no se ha visto en Google Play.



Más información y fuente:

https://www.welivesecurity.com/2018/06/18/new-telegram-abusing-android-rat/

Saludos.