Os investigadores da ESET descobriram uma nova família de RATs (Remote Administration Tools) para Android que abusa do protocolo Telegram de forma a controlar dispositivos.
Um destes RATs é o chamado HeroRat, vendido num canal do Telegram. Os atacantes aliciam as vítimas a instalar o RAT difundindo-o sob nomes atrativos, através de lojas de apps, redes sociais e apps de mensagens. O malware é distribuído principalmente no Irão, fazendo-se passar por apps que oferecem bitcoins, ligações à Internet e seguidores adicionais em redes sociais, tudo gratuitamente. Ainda não foi detetado na loja oficial Google Play.
O malware corre em todas as versões de Android, mas necessita que o utilizador aceite uma série de permissões para funcionar. Depois de instalado e executado, uma pequena janela aparece, dizendo que a app não consegue correr no dispositivo e será desinstalada automaticamente. Depois da falsa desinstalação terminar, o ícone da app desaparece. No entanto, do lado do atacante, acabou de ser registado um novo dispositivo comprometido.
Depois de ter ganho acesso ao dispositivo da vítima, o atacante pode usar a funcionalidade de bots do Telegram para o controlar. Cada dispositivo comprometido é controlado através de um bot, configurado pelo atacante com o Telegram. O malware tem uma vasta gama de funcionalidades de espionagem e furto de informação, incluindo interceção de mensagens de texto e contactos, envio de mensagens de texto e chamadas, gravação de áudio e ecrã, obtenção da localização e alteração de definições.
Para evitar ser vítima deste malware, instale apps apenas da loja oficial Google Play, leia as críticas dos utilizadores de todas as apps que instalar e tenha em atenção que permissões dá às apps tanto antes como depois da sua instalação.
Leia a notícia completa aqui.
