Los investigadores de ESET descubrieron una nueva familia de RAT de Android (Herramientas de administración remota), que ha estado abusando del protocolo de Telegram para comando y control, y exfiltración de datos.
Investigando lo que al principio parecía ser una actividad incrementada por parte de IRRAT y TeleRAT informados anteriormente, identificamos una familia de malware completamente nueva que se ha extendido desde al menos agosto de 2017. En marzo de 2018, su código fuente se puso a disposición de forma gratuita en Telegram. pirateando canales, y como resultado, cientos de variantes paralelas del malware han estado circulando en la naturaleza.
Una de estas variantes es diferente del resto: a pesar del código fuente disponible libremente, se ofrece a la venta en un canal dedicado de Telegram, comercializado bajo el nombre HeroRat. Está disponible en tres modelos de precios según la funcionalidad, y viene con un canal de video de soporte. No está claro si esta variante se creó a partir del código fuente filtrado, o si es el "original" cuyo código fuente se filtró.
Los atacantes atraen a las víctimas para que descarguen la RAT al difundirla bajo varias apariencias atractivas, a través de tiendas de aplicaciones de terceros, redes sociales y aplicaciones de mensajería. Hemos visto el malware distribuido principalmente en Irán, como aplicaciones que prometen bitcoins gratis, conexiones a internet gratuitas y seguidores adicionales en las redes sociales. El malware no se ha visto en Google Play.
Más información y fuente:
https://www.welivesecurity.com/2018/06/18/new-telegram-abusing-android-rat/
Saludos.