ESET нашел вирус в Telegram — бот предлагает биткоины

Специалисты международной компании по разработке антивирусного программного обеспечения и решений в области компьютерной безопасности ESET обнаружили опасный вирус в Telegram, который атакует устройства на платформе Android. Бот предлагает биткоины.

Программа активизируется при установке приложения по бесплатной раздаче биткоина. Сотрудники компании ESET уверены, что наряду с другими продуктами на смартфон попадает и очень опасный троян HeroRat, который управляет зараженными устройствами и крадет данные с помощью бота в Telegram.

HeroRat - RAT-троян (Remote Administration Tool) для удаленного управления скомпрометированными устройствами. Авторы предлагают его в аренду по модели Malware-as-a-Service (вредоносное ПО в качестве услуги). Доступны три комплектации (бронзовая, серебряная и золотая), которые различаются набором функций и ценой - 25, 50 и 100 долларов соответственно. Исходный код вредоносной программы продается за 650 долларов. Предусмотрен даже видеоканал техподдержки.

HeroRat ищет жертв через неофициальные магазины Android-приложений, социальные сети и мессенджеры. Атакующие маскируют троян под приложения, обещающие биткоины в подарок, бесплатный мобильный интернет или накрутку подписчиков в соцсетях. В Google Play данной угрозы не обнаружено. Большинство заражений на данный момент зафиксировано в Иране.

Когда пользователь установит и запустит вредоносное приложение, на экране появится всплывающее окно. В нем сообщается, что программа не может работать на устройстве и будет удалена. В ESET наблюдали образцы с сообщениями на английском и персидском языках (в зависимости от языковых настроек). После "удаления" иконка приложения исчезнет, а троян продолжит работу скрытно от пользователя.

Операторы HeroRat управляют зараженными устройствами через Telegram с помощью бота. Троян позволяет интернет-мошенникам перехватывать и отправлять сообщения, красть контакты, совершать вызовы, записывать аудио, делать скриншоты, определять местоположение устройства и менять настройки.

Известно, что в основном хакеры охотятся на реквизиты банковских карт и цифровых кошельков. Для управления функциями предусмотрены интерактивные кнопки в интерфейсе Telegram-бота - пользователь получает набор инструментов в соответствии с выбранной комплектацией.

Специалисты пока разбираются с вирусом и не дают каких-либо рекомендаций по тому, как обезопасить свой гаджет.