近日，Palo Alto Networks 的安全专家发现了一种名为 TeleRAT 的新型 Android 木马，该木马使用 Telegram 的 Bot API 来与命令和控制（C＆C）服务器进行通信和窃取数据。目前安全专家猜测 TeleRAT 可能是由伊朗的几位威胁攻击者操作运营。

其实另一个被称为 IRRAT 的 Android 恶意软件与 TeleRAT 有相似之处，因为它也利用了 Telegram 的 bot API 进行 C＆C 通信。IRRAT 能够窃取联系人信息、在设备上注册的 Google 帐户列表、短信历史记录，并且还可以使用前置摄像头和后置摄像头拍摄照片。这些被盗的数据存储在手机 SD 卡上的一些文件中，由 IRRAT 将它们发送到上传服务器。IRRAT 将这些行为报告给 Telegram bot 后，将其图标从手机的应用菜单中隐藏起来，在后台运行着等待命令。

而 TeleRAT Android 恶意软件则以不同的方式运行着：它在设备上创建两个文件，其中包含设备信息（即系统引导加载程序版本号，可用内存和大量处理器内核）的 telerat2.txt，以及包含电报通道和一系列命令的 thisapk_slm.txt 。

TeleRAT 一旦被成功安装，恶意代码就会通过电报 Bot API 发送消息来通知攻击者，并且该恶意软件还启动了后台服务，用于监听对剪贴板所做的更改。除此之外，TeleRAT 每 4.6 秒钟从 bot API 中获取更新，以监听用波斯语编写的几条命令。以下为两种获取更新的方式：

1、 getUpdates 方法（公开发送给 bot 的所有命令的历史记录，其中包括命令发起的用户名）

2、Webhook 方法（bot 更新可以被重定向到一个通过 Webhook 指定的HTTPS URL）。

TeleRAT 功能用途极为广泛，如以下：

接收命令来抓取联系人、位置、应用程序列表或剪贴板的内容；

接收收费信息、 获取文件列表或根文件列表;

下载文件、创建联系人、设置壁纸、接收或发送短信;

拍照、接听或拨打电话、将手机静音或大声;

关闭手机屏幕、 删除应用程序、导致手机振动、从画廊获取照片；

TeleRAT 还能够使用电报的 sendDocument API 方法上传已窃取的数据，这样就避开了基于网络的检测。

TeleRAT 传播

TeleRAT 恶意软件除了通过看似合法的应用程序分发到第三方 Android 应用程序商店外，也通过合法和恶意的伊朗电报渠道进行分发。根据 Palo Alto Networks 统计，目前共有 2293 名用户明显受到感染，其中大多数（82％）拥有伊朗电话号码。

TeleRAT 被认为是 IRRAT 的升级版本，因为它消除了基于已知上传服务器流量网络检测的可能性，这是由于所有通信（包括上传）都是通过电报 bot API 完成的。 除了一些额外的命令外，TeleRAT 与 IRRAT 的主要区别还在于TeleRAT 使用了电报 sendDocument API 方法上传已窃取的数据 。

(责任编辑：冬天的宇)