Антивирусная компания ESEТ рассказала о новом трояне, который управляет зараженными устройствами и крадет данные при помощи бота в Telegram.
Как рассказали в ESEТ, троян HeroRat маскируется под приложения, которые предлагают криптовалюту в подарок, накрутку в соцсетях и бесплатный выход в интернет. Вредоносная программа распространяется через неофициальные магазины Android-приложений и мессенджеры. В блоге компании добавляют, что в Google Play данной угрозы не обнаружено, а большинство пострадавших пользователей находится в Иране.
Принцип работы трояна схож с другими подобными вирусами. После того, как пользователь установит и запустит приложение, на экране появится всплывающее окно. В нем сообщается, что программа не может работать на устройстве и будет удалена. После фейкового удаления HeroRat переходит в скрытый от пользователя режим.
С этого момента операторы трояна начинают управлять устройством с помощью бота в Telegram. В ESET отмечают, что вредоносный код может перехватывать и отправлять сообщения, красть контакты, совершать вызовы, записывать аудио, делать скриншоты, определять местоположение устройства и менять настройки:
Усложняет ситуацию то, что передача команд и кража данных с зараженных устройств реализована в рамках протокола Telegram – эта мера позволяет противодействовать обнаружению трояна различными файерволами.
Исходный код HeroRat хакеры продают за $650. Помимо этого, злоумышленники предлагают различные комплектации трояна, которые продаются от $25 до $100.
Подписывайтесь на «Код Дурова» в Telegram и во «ВКонтакте», чтобы всегда быть в курсе интересных новостей!
Читать первым в Telegram-канале «Код Дурова»
