HeroRat — RAT-троян для віддаленого управління скомпрометованимi пристроями

ESET відкрила новий Android-троян HeroRat, який управляє зараженими пристроями і краде дані за допомогою бота в Telegram.

HeroRat — RAT-троян (Remote Administration Tool) для віддаленого управління скомпрометованимi пристроями. Автори пропонують його в оренду за моделлю Malware-as-a-Service (шкідливе ПЗ в якості послуги).
Доступні три комплектації (бронзова, срібна та золота), які розрізняються набором функцій і ціною — 25, 50 і 100 доларів відповідно. Вихідний код шкідливої ​​програми продається за 650 доларів. Передбачено відеоканал техпідтримки.

HeroRat шукає жертв через неофіційні магазини Android-додатків, соціальні мережі і месенджери.
Атакуючі маскують троян під додатки, що обіцяють біткоіни в подарунок, безкоштовний мобільний інтернет або накрутку передплатників в соцмережах. У Google Play даної загрози не виявлено. Більшість заражень зафіксовано в Ірані.

Коли користувач встановить і запустить шкідливий додаток, на екрані з’явиться спливаюче вікно. У ньому повідомляється, що програма не може працювати на пристрої і буде видалена. В ESET спостерігали зразки з повідомленнями англійською та перською мовами (в залежності від мовних налаштувань). Після «видалення» іконка програми зникне, а троян продовжить роботу таємно від користувача.
Оператори HeroRat керують зараженими пристроями через Telegram за допомогою бота.

Троян дозволяє перехоплювати і відправляти повідомлення, красти контакти, здійснювати виклики, записувати аудіо, робити скріншоти, визначати місце розташування пристрою і змінювати налаштування. Для управління функціями передбачені інтерактивні кнопки в інтерфейсі Telegram-
бота — користувач отримує набір інструментів відповідно до обраної комплектацією.

Передача команд і крадіжка даних з заражених пристроїв реалізована в рамках протоколу Telegram — цей захід дозволяє протидіяти виявленню трояна.