Bem vindos ao Blog da comunidade ITsafe



Boa Leitura


Blog em em português sobre construção . Por favor se encontrar algo que necessite correção entre em contato. Os vídeos do blog ainda estão em hebraico, mas em breve estaremos traduzindo com a mesma qualidade que traduzimos os cursos.


Como Hackers estão invadindo o Android com o Telegram

Foi descoberto uma nova ferramenta que hackers utilizam para controlar dispositivos android remotamente e extrair qualquer dado.


Pesquisadores da ESET descobriram uma nova família de Ferramentas de Administração Remota (RATs) em sistemas Android que usam o protocolo do Telegram para controlar dispositivos e extrair informações deles.
Ao investigar o que parece ser um aumento da atividade em dois malwares já conhecidos, IRRAT e TeleRAT, os pesquisadores descobriram um tipo inteiramente novo de malware, que se espalhou ao redor do mundo desde agosto de 2017.

Em março de 2018 foi divulgado seu código em open-source e em canais de hackers no Telegram, resultando em centenas de versões diferentes desse malware rodando por aí.
Uma dessas versões é diferente das outras devido a qualidade de seu código e de ferramentas disponíveis. Embora o código-fonte esteja disponível para todos e de graça, ele é oferecido para venda em um canal de telegram dedicado, onde é chamado de HeroRAT

HeroRAT, está disponível para compra em 3 modelos de pagamento de acordo com as funções exigidas. Não está claro se esta versão foi criada a partir do código fonte vazado ou se é a "fonte" cujo código vazou.
Como o malware funciona?

Os invasores fazem com que as vítimas baixem as ferramentas de controle remoto distribuindo-as sob vários disfarces tentadores, por meio de lojas de aplicativos independentes, redes sociais e aplicativos de mensagens. Foi encontrado esse malware sendo distribuído como um aplicativo que oferece gratuitamente moedas Bitcoin, conexão gratuita à Internet e para aumentar seguidores de redes sociais, especialmente no Irã. O malware não foi encontrado na loja oficial do Google, Google Play.
1
Alguns dos aplicativos usados ​​para distribuir o malware
O malware funciona em todas as versões do Android, mas os usuários que instalam o malware devem fornecer as permissões necessárias (incluindo a execução do aplicativo como o gerenciador de dispositivos), e é nesse ponto que a engenharia social entra em ação.
2
A ferramenta de controle remoto solicitando privilégios de administrador
Quando o malware é instalado e ativado no dispositivo da vítima, aparece uma mensagem indicando que o aplicativo não pode operar no dispositivo e, portanto, será removido dele.

Nas versões analisadas, o aviso de remoção aparece em inglês ou persa, dependendo das configurações de idioma do usuário no dispositivo.
Depois que a remoção termina, o ícone do aplicativo parece ter desaparecido. No entanto, por parte do atacante, uma nova vítima é imediatamente registrada.
3

O criador do HeroRAT demonstra a instalação do malware em seu dispositivo (captura de tela de um vídeo tutorial dado pelo criador do malware)
4
O código fonte do malware com falsas mensagens de remoção em inglês e persa
Após o invasor ter acesso ao dispositivo da vítima, ele usa a função de Bot's do Telegram para controlar o novo dispositivo. Cada um dos dispositivos hackeados é controlado por um bot, instalado e ativado pelo aplicativo Telegram do invasor.
O malware tem uma ampla gama de recursos de espionar e roubar arquivos, incluindo interceptação de mensagens e contatos, envio de mensagens de texto e chamadas, gravação de tela e áudio, acesso à localização física do dispositivo e controle das configurações do dispositivo.
O malware HeroRAT é dividido em três "pacotes" diferentes, bronze, prata e ouro, colocados à venda por US $25, US $50 e US $100, respectivamente. O código fonte em si é oferecido para venda pelo (talentoso) criador da HeroRAT por 650 dólares.
Os recursos do malware estão disponíveis na forma de botões clicáveis ​​na interface do aplicativo Telegram. Os atacantes podem controlar os dispositivos hackeados simplesmente clicando nos botões disponíveis na versão do malware que eles executam.
5
Painel de Controle do HeroRAT
6
As funções do HeroRAT - nas versões bronze, prata e ouro, da esquerda para a direita (screenshots do vídeo de treinamento dado pelo criador do malware)
Ao contrário das ferramentas de controle remoto mal-intencionado anteriores, escritas em Java, a linguagem padrão dos sistemas Android, essa nova família de malware foi desenvolvida a partir do zero usando a linguagem C# e Xamarin - uma combinação rara para malwares de Android.
A maneira como os nanossegundos se comunicam com o protocolo do telegram foi adaptada à sua linguagem de programação. Em vez de usar a API Telegram Bot, que é usada pelas ferramentas de controle remoto anteriormente pesquisadas, essa família de malware usa o Telesharp, uma biblioteca usada para criar uma Bots do Telegram usando a linguagem de programação C#.
A transferência de comandos para o dispositivo e a remoção de informações do dispositivo são feitas usando apenas um protocolo, um meio de impedir a identificação do malware, o que geralmente é feito pelo monitoramento do tráfego para servidores de upload conhecidos.
Como se defender?
Como o código-fonte do malware se tornou disponível para todos recentemente, agora é possível desenvolver e distribuir novas versões em qualquer lugar do mundo. Como o método de distribuição é feito através de aplicativos disfarçados e isso varia de caso para caso, não é suficiente procurar aplicativos específicos no seu dispositivo para ver se ele é um malware de controle remoto.

A melhor solução é ter noção que não existe um aplicativo que vai carregar sua bateria em 100% ou que lhe dará dinheiro de graça.
Se você acredita que o seu dispositivo foi comprometido por esse malware, verifique seu dispositivo com uma solução de segurança confiável para dispositivos móveis.

Para evitar ser vítima de malware Android, use apenas a loja oficial do Google Play para fazer download de aplicativos. Leia as resenhas de usuários antes de fazer o download de qualquer aplicativo e observe quais permissões você concede aos aplicativos antes e depois da instalação.

Compartilhe este post