В ESET рассказали об Android-вирусе, управляемом через Telegram

21 июня 2018 года

Специалисты антивирусной компании ESET обнаружили новый Android-троян под названием HeroRat, который управляет зараженными устройствами и крадет данные пользователей при помощи бота в Telegram. Описание трояна было опубликовано в блоге компании.

"HeroRat - RAT-троян (Remote Administration Tool) для удаленного управления скомпрометированными устройствами. Авторы предлагают его в аренду по модели Malware-as-a-Service (вредоносное ПО в качестве услуги). Доступны три комплектации (бронзовая, серебряная и золотая), которые различаются набором функций и ценой - 25, 50 и 100 долларов соответственно. Исходный код вредоносной программы продается за 650 долларов. Предусмотрен видеоканал техподдержки", - говорится в сообщении ESET.

По данным экспертов, HeroRat распространяется через неофициальные магазины Android-приложений, соцсети и мессенджеры. Хакеры маскируют троян под приложения, которые обещают пользователям биткоины в подарок, бесплатный мобильный интернет или накрутку подписчиков в соцсетях. Большинство заражений этим вирусом зафиксировано в Иране.

"Когда пользователь установит и запустит вредоносное приложение, на экране появится всплывающее окно. В нем сообщается, что программа не может работать на устройстве и будет удалена", - сообщает релиз. При этом после "удаления исчезает лишь иконка приложения, а троян продолжает работать втайне от владельца устройства.

Для управления зараженными устройствами при помощи вируса злоумышленники используют Telegram-бот. Так, они могут дать HeroRat команду начать перехватывать и отправлять сообщения, красть контакты, совершать вызовы, записывать аудио, делать скриншоты, определять местоположение устройства и менять настройки. Для активации этих функций в интерфейсе бота предусмотрены интерактивные кнопки.

Как отмечают в компании, использование протокола Telegram для передачи команд и кражи данных позволяет противодействовать обнаружению трояна.