Colpisce solo Android ed è una nuova famiglia di Remote Adiministration Tool (RAT), ovvero uno strumento programmato per consentire a un dispositivo remoto di controllare un sistema come se vi avesse accesso fisico. Il codice sorgente di HeroRat è disponibile gratuitamente da Marzo 2018 e, dall'Agosto 2017, abusa del protocollo Telegram. 
 
Come si diffonde?
E' in vendita su un canale Telegram dedicato, ma il codice è in diffusione anche gratuitamente. Non è chiaro quindi se la variante in vendita sia stata creata dal codice sorgente trapelato oppure se, al contrario, sia quella la versione originale del malware. In ogni caso, i vettori d'infezione principali sono le app di app store di terze parti, app di messaggistica e social media. Attualmente non è stato riscontrato (almeno per ora) sul Google Play. 
 

Come funziona? 
L'intera famiglia HeroRat dispone di una grandissima quantità di funzioni di spionaggio e di estrapolazione dei file: può intercettare messaggi di testo e contatti, eseguire chiamate, registrare audio attivando il microfono, rilevare la posizione tramite geolocalizzazione, modificare le impostazioni del dispositivo e inviare messaggi di testo. Funziona su tutte le versioni di Android, ai quali richiede, per prima cosa, un ampio livello di autorizzazioni, compresa l'attivazione dell'app stessa come amministratore del dispositivo. Si nasconde in app di terze parti solitamente spacciate come app per connessioni internet gratuite o per la promozione di criptovaluta. Una volta installato e avviato, il malware visualizza un piccolo pop up che avvisa l'utente di un malfunzionamento dell'app stessa, avvisando dell'avvio della disinstallazione. 
 

E' proprio qui che i cyber criminali ottengono l'accesso al dispositivo della vittima e lo inseriscono come bot della botnet da essi controllata, tutto attraverso Telegram. Sempre il protocollo di Telegram funge da copertura sia dei comandi di comunicazione sia della sottrazione dei dati. 
 
Differentemente dalla maggior parte dei RAT per Android di Telegram, solitamente scritti nello standard Android Java, questa nuova famiglia è stata sviluppata da zero in C# utilizzando il framework Xamarin. 
 
Che cosa fare?
La maggior parte dei più affidabili antivirus mobile individua questo Rat e lo blocca. Spesso basta quindi eseguire una scansione del proprio telefono. Sicuramente è utile evitare di scaricare app da app store di terze parti, leggere le recensioni prima di scaricare un app e verificare attentamente il tipo di permissioni richieste al momento dell'installazione.