Złośliwe oprogramowanie jest coraz tańsze i dostępne dla prawie każdego. Dzięki takim zabiegom niebezpieczne narzędzia mogą trafiać do szerszego grona odbiorców. Takie rozwiązanie dostępne jest w Dark Web za jedyne 29,99 dolarów. To pokazuje, że atakowanie ofiar jest bardzo przystępne. Za niewielką cenę dostaniecie bardzo potężne oprogramowanie. Na świecie jest około 3 miliarda użytkowników korzystających z Androida. To jest bardzo duże pole do popisu dla hakerów.
Przejmij wszystkie dane ze smartfona ofiary.
Jedno z najnowszych zabezpieczeń jest kombinacją dwóch typów złośliwego oprogramowania, z którym mieliśmy do czynienia już wcześniej. Dzięki takiej mieszance hakerzy otrzymują dostęp do prawie wszystkich informacji ze smartfona ofiary.
Zostało stworzone przez użytkownika Triangulum, który w Dark Web jest bardzo szanowany. Dopracował inne złośliwe oprogramowanie i nawiązał współpracę z innymi hakerami. W sieci pojawia się nawet jego reklama.
Co może Rogue RAT?
- namierza lokalizację GPS,
- wykonuje zrzuty ekranu,
- przejmuje aparat (może zdalnie robić zdjęcia),
- nagrywa rozmowy i wysyła na wskazany serwer,
- może zdalnie wykonać połączenie.
To tylko najbardziej oczywiste możliwości Rogue RAT. Większość komend i uprawnień tego oprogramowania znajdziecie na końcu tekstu.
Jak „podarować” złośliwe oprogramowanie?
Oczywiście Rogue RAT należy jeszcze umieścić w smartfonie ofiary i to może być trudniejsze. Bo dzięki obecnym zabezpieczeniom użytkownicy są lepiej chronienie. Z drugiej strony, to spowodowało, że są oni mniej uważni i bardzo mocno polegają na technologii. Przez to u wielu osób wyłącza się myślenie. Tutaj pojawia się uchylona furtka dla hakerów. Dzięki lekceważeniu bezpieczeństwa mogą oni wprowadzić aplikację zawierającą narzędzie do zdalnej administracji. Bardzo popularną metodą wydaje się również phishing. Niestety, ale wielu użytkowników dalej potrafi wykonać niebezpieczne polecenia podane w mailu. To się szybko nie zmieni.
Więc mamy dwie najczęściej wybierane metody: phishing i zainfekowane aplikacje.
Zajmiemy się atakiem wykorzystującym złośliwe aplikacje. Jak to wygląda?
- pobranie aplikacji,
- nadanie uprawnień (jeśli użytkownik ich nie nada, to aplikacja prosi o nie do skutku, co chwilę przypominając),
- Rogue otrzymuje uprawnienia,
- ukrywa swoją obecność,
- zabezpiecza się przed usunięciem.
Bardzo ciekawie wygląda „zabezpieczenie” przed usunięciem złośliwej aplikacji. Gdy użytkownik stwierdzi, że chce się pozbyć nowego oprogramowania, to otrzyma komunikat, że może stracić wszystkie dane. Aplikacja może zapytać ofiarę, czy chce stracić wszystkie dane. W takim przypadku większość użytkowników może odpuścić usuwanie programu.
Bądź bezpieczny.
Lepsza profilaktyka. Warto zwrócić uwagę na kilka punktów żeby lepiej się chronić. Dla większości z was są one oczywiste, ale nie dla wszystkich.
- Sprawdzaj uprawnienia, o które prosi aplikacja.
- Instaluj aktualizacje zabezpieczeń.
- Unikaj niesprawdzonych źródeł z oprogramowaniem.
- Nie bój się zadawać pytań.
- Nie instaluj zbędnych aplikacji.
Komendy i możliwości Rogue RAT:
Command | Description | Configuration |
---|---|---|
getLocation | Add current location and current timestamp to the Firebase Database. | |
getMessages | SMS messages and the current timestamp are added to the Firebase Database. | |
makeCall | Application initiates a phone call to a provided phone number. If there is no phone number provided, the call goes to “+91987654321”. The number “+91987654321” seems to be a defafult value for command, however it is not a coincidence that it begins with India’s country code (91). | Disabled |
getImages | Make thumbnails of an album with its name and upload thumbnails to the Firebase Cloud Store. A list of uploaded thumbnails is stored in the Firebase Database. | |
deleteCallLog | Removes records from the provided type of call-log. | |
fileExplorer | Store a list of directories by a provided path in the Firebase Database. | |
recordCamera | Starts recording from selected cameras and for a provided duration. The video is recorded to a local file. After recording, the video-file is uploaded to the Firebase Cloud Store. | Disabled |
installApp | Installs an application from a provided URL. | |
syncWhatsappMessages | Upload messages collected from chat programs to the Firebase Database. | |
fileDownloadToLocal | Downloads a file from a provided URL to a provided local path. | |
deviceAdmin | Activates the device admin permission for an application. | |
openApp | Launches an application with a provided name. | |
getContacts | Uploads all contacts to the Firebase Database. | |
getContacts | Uploads call logs to the Firebase Database. | |
root | Executes a shell command. The output of the command is stored in the Firebase Database. | |
takePicture | Takes a photo from a selected camera (back or front) and uploads the photo to the Firebase Cloud Store. | Disabled |
deleteFile | Deletes a file or directory per the provided path. | |
downloadFile / uploadFile | Uploads a file by a provided path to the Firebase Cloud Store. | |
sendMessage | Sends a custom SMS message to a specified number. | |
recordScreen | Records a video of the device’s screen. The video is recorded to a local file. After recording, the video-file is uploaded to the Firebase Cloud Store. | Disabled |
deleteContact | Deletes a specified contact. | |
updateCallBlockList | Updates the local list of call blocked numbers with a list from the Firebase Database. | |
takeScreenShot | Takes a screenshot of the current screen. The screenshot is uploaded to the Firebase Cloud Store. | Disabled |
recordAudio | Starts recording from a microphone for a provided duration. The audio is recorded to a local file. After recording, the audio-file is uploaded to the Firebase Cloud Store. | |
deviceInfo | Collects information about the device: • Phone number • Network provider • Username • List of device user accounts • SDK version • User-visible version string • Device serial number • Device name, brand, board, manufacturer • IMEI • Battery level • Network connection status • WiFi connection information, DHCP status • WiFi scan results with available Access Points • IPv4 and IPv6 addresses The information is stored in the Firebase Database. | |
cancelScheduledCommand | Cancels the execution of a scheduled pending command. | |
usageStats | Gets statistics of the device’s applications usage. The following fields are sent to the C&C server: • Package name • Foreground time • Timestamp of first time used • Timestamp of last time used System applications are eliminated from the statistics. The information is stored in the Firebase Database. | Disabled |
getInstalledApps | Stores the current timestamp and list of installed applications in the Firebase Database. | |
deleteFiles | Deletes files from the device by a provided path. | |
openBrowser | Opens the Chrome browser and navigates to a specific URL. | Disabled |
zipFiles | Zips files in a specified path. The resulting zip-file is uploaded to the Firebase Cloud Store. | |
addContact | Creates a new contact. | |
login | Attempts to log back into the Firebase account with a provided email and password. | |
getAllScheduledTasks | Dumps all scheduled tasks into a log and uploads it to the C&C server. | |
cancelAllScheduledCommands | Similar to “cancelScheduledCommand” but for all pending commands. | |
addCallLog | Adds a new record to the call log with a provided number, the duration, date, and the type of the call. | |
updateFCMToken | Updates the token that is used for the Firebase service. | |
deleteApp | Uninstalls application by a provided package name. | Disabled |
clearWhatsappMessages | Removes saved sniffed IM messages from applications in the local database. It is possible to remove all messages or only messages that belong to one of the sniffed applications (e.g. “com.whatsapp”). | |
runJobScheduler | Starts a scheduler for executing jobs scheduled by the “scheduleCommand” command. |
Jeśli chcesz zapoznać się szczegółowo z Rogue RAT, to zajrzyj tutaj: https://research.checkpoint.com/2021/going-rogue-a-mastermind-behind-android-malware-returns-with-a-new-rat/
O ostatniej aktualizacji zabezpieczeń Androida przeczytasz tutaj: https://www.androidowy.pl/zabezpieczenia-android/783/