Individuata dai ricercatori di Eset, la nuova famiglia HeroRat per Android con funzioni di spionaggio e di estrapolazione dei file, “viaggia” sull’app Telegram. Infatti HeroRat è offerto in vendita su un canale Telegram dedicato, nonostante il codice sorgente sia ora disponibile gratuitamente; non è chiaro se questa variante sia stata creata dal codice sorgente trapelato, o se viceversa sia la versione originale del malware.
Per diffondere HeroRat, che funziona su tutte le versioni Android, i cybercriminali utilizzano diverse tecniche: app store di terze parti, social media, app di messaggistica. Attualmente questo malware, assente su Google Play, è distribuito soprattutto in Iran attraverso un’app che promuove Bitcoin e connessioni Internet gratuite, oltre che follower aggiuntivi sui social media.
A differenza dei RAT per Android di Telegram precedentemente analizzati, scritti nello standard Android Java, la nuova famiglia è stata sviluppata da zero in C # utilizzando il framework Xamarin, una rara combinazione per malware Android. Il meccanismo di HeroRat prevede che gli utenti siano costretti ad accettare le autorizzazioni richieste dall’app infetta, che a volte include l’attivazione dell’app stessa come amministratore del dispositivo. Dopo che il malware è installato e lanciato sul dispositivo dell’utente, viene visualizzato un popup che dichiara che l’app non può essere eseguita e verrà quindi disinstallata.
Quando la disinstallazione è apparentemente completata, l’icona dell’app scompare. Ed è proprio questo il momento che i cybercriminali ottengono l’accesso al dispositivo della vittima e lo controllano tramite un bot, configurato e gestito dai cybercriminali con l’app Telegram. I comandi di comunicazione e l’esfiltrazione dei dati dai dispositivi compromessi sono entrambi interamente coperti dal protocollo Telegram, per evitare il rilevamento del malware.
Come difendersi quando il proprio dispositivo è stato compromesso da HeroRat? Innanzitutto è necessario eseguire la scansione del dispositivo utilizzando una soluzione di sicurezza mobile affidabile. I sistemi Eset rilevano e bloccano questa minaccia come Android/Spy.Agent.AMS e Android/Agent.AQO. Un consiglio in generale è quello di scaricare le app unicamente da Google Play Store, leggere le recensioni degli utenti e prestare attenzione a quali autorizzazioni concedere alle app prima e dopo l’installazione.
