ESET研究人员发现了一个新的Android RAT（远程管理工具）家族，滥用Telegram协议进行指挥和控制以及数据传输。

初步的调查显示似乎是之前报告的IRRAT和TeleRAT的行动有所增加，最终确定我们发现了一个全新的恶意软件家族，自2017年8月起至今一直在扩散。2018年3月，其源代码在Telegram黑客频道下免费提供，结果导致数百种类似变体的恶意软件在野传播。

其中一种变体与其他变体（可以免费获得源代码）不同，在名为HeroRat的专用Telegram频道上销售。它根据功能提供三种定价模式，并附带支持视频频道。目前还不清楚这个变体是从泄露的源代码创建的，还是源代码被泄露的“源”。

运营模式

攻击者通过第三方应用程序商店、社交媒体、消息应用程序，各种引人入胜的伪装，引诱受害者下载RAT。我们看到恶意软件主要分布在伊朗，作为提供免费比特币、免费互联网连接以及社交媒体的应用程序。该恶意软件尚未在Google Play上看到。

图1:用于传播RAT的一些伪装

恶意软件可在所有Android版本上运行：但是，受影响的用户需要接受应用程序所需的权限（有时包括以应用程序管理员身份激活应用程序），这正是社交工程的用武之地。

图2 :请求设备管理员权限的RAT

在受害者的设备上安装并启动恶意软件后，会出现一个小的弹窗，声称该应用程序无法在设备上运行，因此将被卸载。在我们分析的变体中，假卸载消息可以以英文或波斯文显示，具体取决于目标设备的语言设置。

卸载看似完成后，应用程序的图标消失。然而，在攻击者那里，一个新的受害设备刚刚被注册。

图3 :HeroRat作者在自己的设备上安装RAT的演示（由恶意软件作者提供的教学视频中的屏幕截图）

图4 :具有英文和波斯文假冒卸载消息的恶意软件源代码

获得对受害者设备的访问权限后，攻击者利用Telegram’s bot functionality来控制新列出的设备。每个受感染的设备都是通过机器人控制的，由攻击者使用Telegram应用程序设置和操作。

该恶意软件具有间谍和文件窃取功能，包括拦截文本消息和联系人、发送短信和拨打电话、录制音频和屏幕、获取设备位置以及控制设备的设置。

HeroRat依据功能分为三个版本—-铜版、银版、金版——分别销售25、50、100美元。源代码本身由HeroRat作者提供，售价650美元。

恶意软件的功能可通过Telegram bot界面中的可点击按钮的形式访问。攻击者只需点击正在运行的恶意软件版本中的按钮即可控制受害设备。

图5 :HeroRat控制面板

图6 :HeroRat功能 – 从左到右，“铜”，“银”和“金”（恶意软件作者提供的教学视频中的屏幕截图）

与之前分析的滥用Telegram的Android RAT（用标准的Android Java编写）不同，这个新发现的恶意软件家族是使用Xamarin框架（一种罕见的Android恶意软件组合）从头开发的。

恶意软件通过Telegram协议进行通信的方式已适应其编程语言——而不是以前描述的RAT使用的Telegram Bot API，该恶意软件家族使用Telesharp，一个用C#创建Telegram机器人的库。

给被感染设备发送命令并从中传输数据都完全通过Telegram协议来封装，这种措施旨在规避对已知上传服务器的流量进行检测。

如何保持安全

随着最近恶意软件的源代码被免费提供，新的变体可以开发和部署在世界任何地方。由于这种恶意软件的分发方式和伪装形式各不相同，因此检查设备是否存在任何特定的应用程序不足以判断设备是否已被入侵。

如果确信设备已被此恶意软件破坏，请使用可靠的移动安全解决方案进行扫描。ESET系统可检测并阻止此类威胁，如Android/Spy.Agent.AMS和Android/Agent.AQO。

为避免成为Android恶意软件的受害者，请在下载应用程序时坚持使用官方Google Play商店，确保在将任何内容下载到设备之前阅读用户评论，并注意安装前后授予应用程序的权限。

IoCs