HeroRAT安卓恶意软件分析教学文档<\/h1>

一、HeroRAT概述<\/h2>
HeroRAT是一个基于Telegram Bot API的安卓远程管理工具(RAT)家族，由ESET安全研究人员于2018年6月发现。该恶意软件主要通过第三方应用商店、社交媒体和即时通信应用在伊朗地区传播。<\/p>

主要特点：<\/h3>

使用Telegram BOT API作为C2通信渠道<\/li>
基于Xamarin框架开发（使用C#语言）<\/li>
采用TeleSharp库实现Telegram Bot功能<\/li>
具有典型的RAT功能（信息窃取、远程控制等）<\/li>

通过隐藏图标和假卸载界面实现持久化<\/li> <\/ul>

二、技术分析<\/h2>

1. 传播方式<\/h3>

主要通过以下渠道传播：<\/p>

第三方安卓应用商店<\/li>
社交媒体平台<\/li>

即时通信应用<\/li> <\/ul>

2. 变种与版本<\/h3>

HeroRAT有三个不同版本，主要区别在于：<\/p>

功能集不同（价格不同）<\/li>
使用的package名称不同<\/li>
图标不同<\/li>

僵尸控制器用户名不同<\/li> <\/ul>

3. 恶意行为分析<\/h3>

3.1 权限请求<\/h4>

恶意应用请求的权限包括（但不限于）：<\/p>

读取短信<\/li>
读取通话记录<\/li>
获取位置信息<\/li>
文件系统访问权限<\/li>

网络访问权限<\/li> <\/ul>

3.2 持久化机制<\/h4>

安装后显示"无法在您的设备上运行"的虚假信息<\/li>
展示假的卸载过程<\/li>
使用setComponentEnabledSetting<\/code>设置为disabled隐藏应用图标<\/li>

指定DontKillApp<\/code>参数保持后台运行<\/li>
<\/ol>
关键代码：<\/p>
setComponentEnabledSetting(<\/span>componentName,<\/span> 2<\/span>,<\/span> 1<\/span>);<\/span> \/\/ 隐藏图标
<\/span><\/span><\/span><\/code><\/pre>3.3 开发框架<\/h4>

使用Xamarin框架开发（C#语言）<\/li>
关键DLL文件：

TeleSharp.dll（Telegram API实现）<\/li>
Mono.Android.dll<\/li>
mscorlib.dll<\/li>
System.dll<\/li>
Java.Interop.dll<\/li>
<\/ul>
<\/li>
<\/ul>
3.4 通信机制<\/h4>

通过Telegram Bot API与C2服务器通信<\/li>
在源代码中硬编码Bot Token（MainToken）<\/li>
通过Telegram REST API查询Bot信息<\/li>
只接受特定发送者ID的命令（Manager ID检查）<\/li>
<\/ul>
通信验证代码：<\/p>
if<\/span> (update.Message.From.Id != this<\/span>.ManagerId)
<\/span><\/span>{
<\/span><\/span>    \/\/ 拒绝非授权命令<\/span>
<\/span><\/span>}
<\/span><\/span><\/code><\/pre>4. 功能分析<\/h3>
HeroRAT具备典型的RAT功能：<\/p>

读取短信内容<\/li>
获取通话记录<\/li>
获取设备位置信息<\/li>
远程控制设备（开关机等）<\/li>
文件下载\/上传<\/li>
其他设备信息收集<\/li>
<\/ul>
三、检测与防御<\/h2>
1. YARA检测规则<\/h3>
rule HeroRAT {
    meta:
        description = "Yara Rule to individuate some samples of HeroRAT Android malware"
        author = "CSE CybSec Enterprise - ZLab"
        last_updated = "2018-07-31"
        tlp = "white"
        category = "informational"
    strings:
        $a = "assemblies\/TeleSharp.dll"
        $b = "assemblies\/Mono.Android.dll"
        $c = {49 64 00 67 65 74 5F 4D 79 4D 61 6E 61 67 65 72}
        $d = {52 65 70 6C 79 4D 65 73 73 49 64 00 73 65 74 5F 43 68 61 74 49 64}
    condition:
        $a and $b and ($c or $d)
}
<\/code><\/pre>
2. 防御建议<\/h3>

只从官方应用商店下载应用<\/li>
警惕要求过多权限的应用<\/li>
监控设备异常行为（如突然变慢、发热等）<\/li>
定期检查设备上运行的服务<\/li>
使用可靠的安全软件进行防护<\/li>
对Xamarin开发的APK保持警惕<\/li>
<\/ol>
四、溯源分析<\/h2>
1. 开发者信息<\/h3>

通过分析Manager用户名可追溯到Telegram账户<\/li>
部分代码可能来源于其他恶意软件（如IRRAT、TeleRAT）<\/li>
<\/ul>
2. 商业化特征<\/h3>

不同版本按功能定价出售<\/li>
提供定制化服务（不同package名、图标等）<\/li>
<\/ul>
五、总结<\/h2>
HeroRAT代表了使用Telegram作为C2通道的安卓RAT新趋势，其特点包括：<\/p>

利用流行IM平台作为通信渠道<\/li>
使用跨平台开发框架（Xamarin）<\/li>
采用商业化运作模式<\/li>
具有较强的隐蔽性和持久性<\/li>
<\/ol>
安全研究人员和用户应关注此类恶意软件的发展趋势，采取相应的防护措施。<\/p>

HeroRAT安卓恶意软件分析教学文档<\/h1>

一、HeroRAT概述<\/h2> HeroRAT是一个基于Telegram Bot API的安卓远程管理工具(RAT)家族，由ESET安全研究人员于2018年6月发现。该恶意软件主要通过第三方应用商店、社交媒体和即时通信应用在伊朗地区传播。<\/p>

二、技术分析<\/h2>

3. 恶意行为分析<\/h3>

三、检测与防御<\/h2>

四、溯源分析<\/h2>

一、HeroRAT概述<\/h2>
HeroRAT是一个基于Telegram Bot API的安卓远程管理工具(RAT)家族，由ESET安全研究人员于2018年6月发现。该恶意软件主要通过第三方应用商店、社交媒体和即时通信应用在伊朗地区传播。<\/p>