Eset mette in guardia contro il malware HeroRat per Android

Eset mette in guardia contro la minaccia del malware HeroRat

Individuata dai ricercatori di Eset, la nuova famiglia HeroRat per Android con funzioni di spionaggio e di estrapolazione dei file, “viaggia” sull’app Telegram.
Infatti HeroRat è offerto in vendita su un canale Telegram dedicato, nonostante il codice sorgente sia ora disponibile gratuitamente; non è chiaro se questa variante sia stata creata dal codice sorgente trapelato, o se viceversa sia la versione originale del malware.

Per diffondere HeroRat, che funziona su tutte le versioni Android, i cybercriminali utilizzano diverse tecniche: app store di terze parti, social media, app di messaggistica. Attualmente questo malware, assente su Google Play, è distribuito soprattutto in Iran attraverso un’app che promuove Bitcoin e connessioni Internet gratuite, oltre che follower aggiuntivi sui social media.

A differenza dei RAT per Android di Telegram precedentemente analizzati, scritti nello standard Android Java, la nuova famiglia è stata sviluppata da zero in C # utilizzando il framework Xamarin, una rara combinazione per malware Android.
Il meccanismo di HeroRat prevede che gli utenti siano costretti ad accettare le autorizzazioni richieste dall'app infetta, che a volte include l'attivazione dell'app stessa come amministratore del dispositivo.
Dopo che il malware è installato e lanciato sul dispositivo dell’utente, viene visualizzato un popup che dichiara che l'app non può essere eseguita e verrà quindi disinstallata.

Quando la disinstallazione è apparentemente completata, l'icona dell'app scompare. Ed è proprio questo il momento che i cybercriminali ottengono l’accesso al dispositivo della vittima e lo controllano tramite un bot, configurato e gestito dai cybercriminali con l'app Telegram.
I comandi di comunicazione e l'esfiltrazione dei dati dai dispositivi compromessi sono entrambi interamente coperti dal protocollo Telegram, per evitare il rilevamento del malware.

Come difendersi quando il proprio dispositivo è stato compromesso da HeroRat?
Innanzitutto è necessario eseguire la scansione del dispositivo utilizzando una soluzione di sicurezza mobile affidabile. I sistemi Eset rilevano e bloccano questa minaccia come Android/Spy.Agent.AMS e Android/Agent.AQO.
Un consiglio in generale è quello di scaricare le app unicamente da Google Play Store, leggere le recensioni degli utenti e prestare attenzione a quali autorizzazioni concedere alle app prima e dopo l'installazione.