HeroRAT, un RAT para Android que usa Telegram como canal de venta

También puedes leer... Privacidad y protección de datos en aplicaciones móviles Haciendo frente a la PSD2 Cambios de Paradigma en Seguridad DMARC, protegiendo el email Nuevo paradigma en la confianza

Los investigadores de ESET han descubierto una nueva familia de herramientas de administración remota (RAT) de Android que ha estado abusando del protocolo de Telegram para realizar tareas de comando y control y de exfiltración de datos. Se trata de una familia de malware completamente nueva que se ha extendido desde al menos agosto de 2017. En marzo de 2018, su código fuente se puso a disposición de forma gratuita en Telegram pirateando canales, y como resultado, cientos de variantes paralelas del malware han estado circulando.

Una de estas variantes es diferente del resto, pues está a la venta en un canal dedicado de Telegram, siendo comercializada bajo el nombre de HeroRat. Está disponible en tres modelos de precios según la funcionalidad, y viene con un canal de video de soporte. No está claro si esta variante se creó a partir del código fuente filtrado, o si es el original cuyo código fuente se filtró.

El malware se ejecuta en todas las versiones de Android, sin embargo, los usuarios afectados deben aceptar los permisos requeridos por la aplicación (que a veces incluye la activación de la aplicación como administrador del dispositivo), y ahí es donde entra en juego la ingeniería social. Después de que el malware se instala y se inicia en el dispositivo de la víctima, aparece una pequeña ventana emergente, alegando que la aplicación no se puede ejecutar en el dispositivo y, por lo tanto, se desinstalará. El falso mensaje de desinstalación se puede mostrar en inglés o en persa, según la configuración de idioma del dispositivo de destino.

Una vez completada la desinstalación, el ícono de la aplicación desaparece. Por el lado del atacante, sin embargo, acaba de registrarse un nuevo dispositivo victimizado. Una vez tiene acceso al dispositivo de la víctima, el atacante aprovecha la funcionalidad bot de Telegram para controlar el dispositivo recién incluido. Cada dispositivo comprometido se controla a través de un bot, configurado y operado por el atacante utilizando la aplicación Telegram.

El malware tiene una amplia gama de capacidades de espionaje y exfiltración de archivos, que incluyen interceptar mensajes de texto y contactos, enviar mensajes de texto y realizar llamadas, grabar audio y hacer capturas de pantalla, obtener la ubicación del dispositivo y controlar su configuración. Según su funcionalidad, HeroRat está disponible en tres "paquetes": bronce, plata y oro, a la venta por 25, 50 y 100 dólares, respectivamente, mientras que el código fuente en sí se ofrece por 650 dólares.