信息來源：hackernews

近日，Palo Alto Networks 的安全專家發(fā)現(xiàn)了一種名為 TeleRAT 的新型 Android 木馬，該木馬使用 Telegram 的 Bot API 來與命令和控制（C＆C）服務(wù)器進行通信和竊取數(shù)據(jù)。目前安全專家猜測 TeleRAT 可能是由伊朗的幾位威脅攻擊者操作運營。

其實另一個被稱為 IRRAT 的 Android 惡意軟件與 TeleRAT 有相似之處，因為它也利用了 Telegram 的 bot API 進行 C＆C 通信。IRRAT 能夠竊取聯(lián)系人信息、在設(shè)備上注冊的 Google 帳戶列表、短信歷史記錄，并且還可以使用前置攝像頭和后置攝像頭拍攝照片。這些被盜的數(shù)據(jù)存儲在手機 SD 卡上的一些文件中，由 IRRAT 將它們發(fā)送到上傳服務(wù)器。IRRAT 將這些行為報告給 Telegram bot 后，將其圖標從手機的應(yīng)用菜單中隱藏起來，在后臺運行著等待命令。

而 TeleRAT Android 惡意軟件則以不同的方式運行著：它在設(shè)備上創(chuàng)建兩個文件，其中包含設(shè)備信息（即系統(tǒng)引導加載程序版本號，可用內(nèi)存和大量處理器內(nèi)核）的 telerat2.txt，以及包含電報通道和一系列命令的 thisapk_slm.txt 。

TeleRAT 一旦被成功安裝，惡意代碼就會通過電報 Bot API 發(fā)送消息來通知攻擊者，并且該惡意軟件還啟動了后臺服務(wù)，用于監(jiān)聽對剪貼板所做的更改。除此之外，TeleRAT 每 4.6 秒鐘從 bot API 中獲取更新，以監(jiān)聽用波斯語編寫的幾條命令。以下為兩種獲取更新的方式：

1、 getUpdates 方法（公開發(fā)送給 bot 的所有命令的歷史記錄，其中包括命令發(fā)起的用戶名）

2、Webhook 方法（bot 更新可以被重定向到一個通過 Webhook 指定的HTTPS URL）。

 TeleRAT 功能用途極為廣泛，如以下：

接收命令來抓取聯(lián)系人、位置、應(yīng)用程序列表或剪貼板的內(nèi)容；

接收收費信息、 獲取文件列表或根文件列表;

下載文件、創(chuàng)建聯(lián)系人、設(shè)置壁紙、接收或發(fā)送短信;

拍照、接聽或撥打電話、將手機靜音或大聲;

關(guān)閉手機屏幕、 刪除應(yīng)用程序、導致手機振動、從畫廊獲取照片；

TeleRAT 還能夠使用電報的 sendDocument API 方法上傳已竊取的數(shù)據(jù)，這樣就避開了基于網(wǎng)絡(luò)的檢測。

TeleRAT 傳播

TeleRAT 惡意軟件除了通過看似合法的應(yīng)用程序分發(fā)到第三方 Android 應(yīng)用程序商店外，也通過合法和惡意的伊朗電報渠道進行分發(fā)。根據(jù) Palo Alto Networks 統(tǒng)計，目前共有 2293 名用戶明顯受到感染，其中大多數(shù)（82％）擁有伊朗電話號碼。

TeleRAT 被認為是 IRRAT 的升級版本，因為它消除了基于已知上傳服務(wù)器流量網(wǎng)絡(luò)檢測的可能性，這是由于所有通信（包括上傳）都是通過電報 bot API 完成的。 除了一些額外的命令外，TeleRAT 與 IRRAT 的主要區(qū)別還在于TeleRAT 使用了電報 sendDocument API 方法上傳已竊取的數(shù)據(jù) 。

Palo Alto Networks 完整分析報告見：

《 TeleRAT: Another Android Trojan Leveraging Telegram’s Bot API to Target Iranian Users 》