Специалисты ESET обнаружили опасный вирус для Android-устройств, которым управляют через бота в мессенджере Telegram. Вредоносная программа HeroRat атакует жертв, скачавших поддельные приложения в неофициальных магазинах. Злоумышленники заманивают пользователей обещаниями накрутить подписчиков в соцсетях или подарить определенную сумму в криптовалюте. После запуска зараженного алгоритма программы выдают сообщение об ошибке и инсценирует самоудаление. На самом деле алгоритм продолжает работу.
После установки вредоносного ПО, приложение показывает уведомление, что не может работать на этом устройстве и якобы удаляется. Но на само деле таким образом активируется троян, который способен похищать данные со смартфона и изменять его настройки.
Все управление вирусом происходит через интерактивные кнопки в интерфейсе Telegram-бота. Они есть в распоряжении хакеров, которые приобрели вирус у разработчиков.
HeroRat берет захваченный гаджет под полный контроль: перехватывает трафик мобильного устройства, крадет хранящуюся на нем информацию и самостоятельно меняет настройки. Киберпреступники могут удаленно управлять его действиями через бот в мессенджере Telegram.
Авторы трояна продают его всем желающим в трех комплектациях. В зависимость от набора функций стоимость вредного алгоритма составит от 25 до 100 долларов. Исходный код хакеры оценили в 650 долларов.
Специалисты по кибербезопасности рекомендуют Android-пользователям не взаимодействовать с неофициальными магазинами приложений. В основном новый вирус распространяется в Иране, при этом в официальном магазине Google Play его не обнаружили.
Ранее экспертам удалось обнаружить вирус, который похищает переписку из Telegram. По предварительным данным, эта вредоносная программа была разработана русскоговорящим киберпреступником под псевдонимом Enot272.
Специалисты отмечают, что в апреле текущего года произошло две атаки на программу Telegram для операционной системы Windows, в результате которых Enot272 похитил файлы кэша, а также ключи шифрования мессенджера. Об этом подробно говорилось в отчёте американской компании Cisco Talos.
По словам специалистов, этот вирус представлял опасность только для компьютерной версии мессенджера, которая обладает более низкой защищённостью. В ходе исследования удалось выяснить, что этот вирус позволяет воровать не только контакты, но и историю переписки пользователей. При этом, вирус копирует и учётные данные пользователя из браузера Google Chrome.