Cosa sapere su HeroRat, il nuovo malware per Telegram

Iscriviti per ricevere una notifica ogni volta che pubblichiamo un articolo che non puoi davvero perderti! Disturbiamo poco, informiamo molto.

I malware su Telegram sono una forma particolare, ma sicuramente non infrequente, di minaccia rintracciabile all’interno dei tanto famigerati “market di terze parti” che online abbondano di applicazioni pirata, trucchi e codici fasulli così come di file maligni che si spacciano per versioni in anteprima di giochi tanto attesi su Android – in questi giorni è il caso di Fortnite. HeroRat, come tutti i malware su Telegram che compaiono sulle nostre pagine, è però diverso dai soliti virus che potreste incontrare sul web, sia dal punto di vista tecnico che pratico, ma la cui pericolosità non è comunque da sottovalutare.

Siete pronti per scoprire nel dettaglio di che cosa si compone la minaccia di HeroRat, il malware su Telegram che imperversa in queste settimane?

Che cos'è HeroRat

I malware su Telegram, come anticipavamo in apertura all’articolo, non sono da tempo una new-entry nel database dei principali istituti di ricerca e di sicurezza più avanzati: sia su smartphone – come nel caso di Spy 377 – sia su PCTeleGrab, il malware su Telegram Desktop scoperto solo qualche giorno fa – gli utenti hanno imparato a diffidare di quanto distribuito da canali, bot o gruppi Telegram la cui affidabilità può facilmente essere messa in discussione.

HeroRat come gli altri trova il suo terreno di fertile crescita in Iran, dove Telegram dispone di una delle più ampie basi d’utenza – circa 40 milioni di profili – ma che al contempo vive in una condizione di semi-clandestinità (vedete anche: “Le 10 cose da sapere su Pavel Durov, Telegram e il Telegram Open Network sui fatti accaduti negli ultimi giorni“). Questo ha spinto gli sviluppatori locali di virus a realizzare malware per Android controllabili attraverso un bot Telegram: è stato il caso di IRRAT e di TeleRAT, entrambe minacce RAT – ossia Remote Access Trojan, Trojan per Accesso Remoto – e il discorso non cambia per HeroRat.

Nonostante le apparenti similarità, i ricercatori ESET classificano HeroRat come una completamente nuova famiglia di malware pur all’interno di un contesto comune: notato per la prima volta in azione nel 2017, HeroRat ha catturato l’attenzione degli sviluppatori ESET quando, nel marzo 2018, il suo codice di sviluppo è stato messo in vendita attraverso un canale Telegram dedicato a 650$, nonostante sia comunque acquistabile nella sua versione già funzionante in tre differenti “bundles” – bronzo per 25$, argento per 50$ e oro per 100$ – suddivisi per numero di funzionalità disponibili.

Un’altra caratteristica unica di HeroRat riguarda la sua architettura tecnica: a differenza dei predecessori, questo trojan è stato programmato interamente in C# invece che in Java, e si serve della libreria Telesharp per comunicare con la piattaforma di Telegram piuttosto che delle ufficiali Telegram Bot API.

Come HeroRat attacca gli smartphone degli utenti

Come specificato dai ricercatori ESET, HeroRat si diffonde – alla pari di molti altri virus – attraverso store di terze parti, siti web e presumiamo anche Telegram stesso nella forma di file di installazione di applicazioni per il mining di Bitcoin ed altre criptovalute, l’acquisizione di follower per Instagram ed i social network principali e via discorrendo, chiaramente nell’ottica di attirare l’attenzione dell’utente magari meno preparato davanti alle minacce del web e che facilmente potrebbe cadere nella trappola.

Una volta installato, il procedimento di attivazione del malware è tanto semplice quanto veloce ed efficace: – nonostante comunque la schermata di installazione dell’app visualizzerà un numero di permessi necessari per funzionare tali da insospettire i più smaliziati. Aperta l’applicazione, indipendentemente dalla versione del sistema operativo dello smartphone, l’utente verrà accolto da una notifica toast che comunicherà l’incompatibilità del SO con l’applicazione stessa e che dunque sarà disinstallata automaticamente. Se però l’app scompare nominalmente dall’app drawer, HeroRat rimane all’interno del dispositivo di cui ha preso possesso, notificando l’avvenuta infiltrazione al proprio programmatore tramite una notifica via Telegram.

Malware su Telegram
L’interfaccia di controllo di controllo di HeroRat

Il malware è infatti controllato dall’hacker attraverso un bot Telegram: nonostante però HeroRat sia un malware su Telegram, non necessita che Telegram sia installato sul device della vittima per funzionare. Telegram diventa solo la piattaforma sulla base del quale il virus viene sviluppato e controllato, ma non obbligatoriamente distribuito. Come se si stessero controllando le pubblicazioni su un qualsiasi canale Telegram, tramite i bottoni inline del bot – ogni bot collegato a HeroRat controlla uno e un solo smartphone, per cui in caso di infezioni su vasta scala immaginiamo che la faccenda potrebbe diventare un po’ complicatal’hacker decide cosa intercettare, e come. SMS, contatti, chiamate, è capace persino di registrare l’audio circostante grazie all’accesso al microfono del telefono, e ottenerne la posizione geografica precisa.

Come difendersi da HeroRat

Nonostante l’origine iraniana potrebbe suggerire all’utente italiano che HeroRat sia una minaccia piuttosto remota, e incapace di costituire un reale pericolo per la propria sicurezza digitale, i fatti lo smentiscono. Telegram è una realtà globale e sulla piattaforma capita molto frequentemente di venire a contatto con file d’installazione o file multimediali provenienti da canali di ogni genere e nazionalità, anche e soprattutto iraniana per via della provenienza di molti dei più popolari client alternativi per Telegram (pensiamo a Mobogram, ma non solo).

Telegram è un’app sicura, ma non i suoi contenuti

Per quel che ci riguarda, oltre a suggerirvi di mantenere sempre alta la soglia dell’attenzione e di non installare mai file di cui si sia certi dell’origine, possiamo incoraggiarvi ad attribuire maggiore importanza al numero di permessi richiesti da un’applicazione nel momento dell’installazione – spesso chiaro segnale della natura maligna di un’app.

Hai paura che un malware possa entrare nel tuo smartphone? Scopri QUI tutti i modi per difenderti!

Vorresti scrivere per AppElmo? Mettiti in gioco: stiamo cercando collaboratori! Scrivi a [email protected], e dai un’occhiata QUI per le modalità di contatto. Non essere timido!

Se non volete perdervi nè le prossime News sulla sicurezza nè gli altri articoli di AppElmo (e sappiamo che non volete), allora potete iscrivervi alla nostra newsletter inserendo il vostro indirizzo email nel form qui in basso (tranquilli, vi assicuriamo che non vi invieremo spazzatura o spam; in caso contrario, vi saremmo immensamente grati se ci segnalaste il problema).

Oppure potete seguirci sulla nostra pagina Facebook, sul nostro account Twitter, sulla nostra pagina Google Plus, sulla nostra rivista Flipboard e sul nostro canale Telegram oppure, in alternativa, potete sempre scaricare la nostra app da Google Play, cliccando QUI o sull’immagine nella sidebar! Grazie mille!

Commenti

This website uses cookies to improve your experience. We'll assume you're ok with this, but you can opt-out if you wish. AcceptRead More

//