信息來源：hackernews

近日，Palo Alto Networks 的安全專家發(fā)現(xiàn)了一種名為 TeleRAT 的新型 Android 木馬，該木馬使用 Telegram 的 Bot API 來與命令和控制（C＆C）服務(wù)器進(jìn)行通信和竊取數(shù)據(jù)。目前安全專家猜測(cè) TeleRAT 可能是由伊朗的幾位威脅攻擊者操作運(yùn)營(yíng)。

其實(shí)另一個(gè)被稱為 IRRAT 的 Android 惡意軟件與 TeleRAT 有相似之處，因?yàn)樗怖昧?Telegram 的 bot API 進(jìn)行 C＆C 通信。IRRAT 能夠竊取聯(lián)系人信息、在設(shè)備上注冊(cè)的 Google 帳戶列表、短信歷史記錄，并且還可以使用前置攝像頭和后置攝像頭拍攝照片。這些被盜的數(shù)據(jù)存儲(chǔ)在手機(jī) SD 卡上的一些文件中，由 IRRAT 將它們發(fā)送到上傳服務(wù)器。IRRAT 將這些行為報(bào)告給 Telegram bot 后，將其圖標(biāo)從手機(jī)的應(yīng)用菜單中隱藏起來，在后臺(tái)運(yùn)行著等待命令。

而 TeleRAT Android 惡意軟件則以不同的方式運(yùn)行著：它在設(shè)備上創(chuàng)建兩個(gè)文件，其中包含設(shè)備信息（即系統(tǒng)引導(dǎo)加載程序版本號(hào)，可用內(nèi)存和大量處理器內(nèi)核）的 telerat2.txt，以及包含電報(bào)通道和一系列命令的 thisapk_slm.txt 。

TeleRAT 一旦被成功安裝，惡意代碼就會(huì)通過電報(bào) Bot API 發(fā)送消息來通知攻擊者，并且該惡意軟件還啟動(dòng)了后臺(tái)服務(wù)，用于監(jiān)聽對(duì)剪貼板所做的更改。除此之外，TeleRAT 每 4.6 秒鐘從 bot API 中獲取更新，以監(jiān)聽用波斯語編寫的幾條命令。以下為兩種獲取更新的方式：

1、 getUpdates 方法（公開發(fā)送給 bot 的所有命令的歷史記錄，其中包括命令發(fā)起的用戶名）

2、Webhook 方法（bot 更新可以被重定向到一個(gè)通過 Webhook 指定的HTTPS URL）。

 TeleRAT 功能用途極為廣泛，如以下：

接收命令來抓取聯(lián)系人、位置、應(yīng)用程序列表或剪貼板的內(nèi)容；

接收收費(fèi)信息、 獲取文件列表或根文件列表;

下載文件、創(chuàng)建聯(lián)系人、設(shè)置壁紙、接收或發(fā)送短信;

拍照、接聽或撥打電話、將手機(jī)靜音或大聲;

關(guān)閉手機(jī)屏幕、 刪除應(yīng)用程序、導(dǎo)致手機(jī)振動(dòng)、從畫廊獲取照片；

TeleRAT 還能夠使用電報(bào)的 sendDocument API 方法上傳已竊取的數(shù)據(jù)，這樣就避開了基于網(wǎng)絡(luò)的檢測(cè)。

TeleRAT 傳播

TeleRAT 惡意軟件除了通過看似合法的應(yīng)用程序分發(fā)到第三方 Android 應(yīng)用程序商店外，也通過合法和惡意的伊朗電報(bào)渠道進(jìn)行分發(fā)。根據(jù) Palo Alto Networks 統(tǒng)計(jì)，目前共有 2293 名用戶明顯受到感染，其中大多數(shù)（82％）擁有伊朗電話號(hào)碼。

TeleRAT 被認(rèn)為是 IRRAT 的升級(jí)版本，因?yàn)樗嘶谝阎蟼鞣?wù)器流量網(wǎng)絡(luò)檢測(cè)的可能性，這是由于所有通信（包括上傳）都是通過電報(bào) bot API 完成的。 除了一些額外的命令外，TeleRAT 與 IRRAT 的主要區(qū)別還在于TeleRAT 使用了電報(bào) sendDocument API 方法上傳已竊取的數(shù)據(jù) 。

Palo Alto Networks 完整分析報(bào)告見：

《 TeleRAT: Another Android Trojan Leveraging Telegram’s Bot API to Target Iranian Users 》