Троян HeroRat контролирует зараженные устройства с помощью бота Telegram
Управление функциями вредоноса осуществляется с помощью кликабельных кнопок интерфейса бота Telegram.
Исследователь компании ESET Лукас Стефанко (Lukas Stefanko) раскрыл подробности о новом Android-трояне для удаленного доступа (RAT), использующем бота Telegram для контроля над зараженными устройствами. Речь идет о трояне HeroRat, известного по крайней мере с августа 2017 года. В марте 2018 года исходный код трояна был опубликован на хакерских Telegram-каналах, что привело к появлению бесчисленного множества его вариантов.
Несмотря на то, что исходный код вредоноса доступен бесплатно, один из его вариантов продается на Telegram-канале по трехзначной цене в зависимости от функционала. Более того, для покупателей доступен видеоканал техподдержки. Был ли этот вариант создан на базе утекшего исходного кода, или это его исходный код был опубликован в открытом доступе, неизвестно, пишет Стефанко.
HeroRat отличается от других использующих возможности Telegram троянов тем, что был написан с нуля на C# с использованием фреймворка Xamarin – весьма необычно, поскольку Android-трояны как правило пишутся на Android Java. Более того, его авторы адаптировали протокол Telegram под используемый язык программирования. В отличие от других RAT, вредонос использует не Telegram Bot API, а библиотеку Telesharp для создания ботов Telegram на C#.
HeroRat распространяется через сторонние магазины приложений, соцсети и приложения для обмена сообщениями. Большая часть зараженных устройств находится в Иране. После установки на устройство на экране появляется уведомление о невозможности запустить приложение и его деинсталляции. Иконка приложения исчезает с экрана, однако оно само никуда не девается.
Троян способен следить за пользователями, похищать хранящиеся на устройстве файлы, перехватывать и отправлять сообщения, похищать контакты, осуществлять звонки, делать скриншоты, записывать аудио, определять местоположение устройства и управлять его настройками. Управление функциями вредоноса осуществляется с помощью кликабельных кнопок интерфейса бота Telegram.