Przechwytywanie danych użytkownika Android za 29,99 dolarów.

Złośliwe oprogramowanie jest coraz tańsze i dostępne dla prawie każdego. Dzięki takim zabiegom niebezpieczne narzędzia mogą trafiać do szerszego grona odbiorców. Takie rozwiązanie dostępne jest w Dark Web za jedyne 29,99 dolarów. To pokazuje, że atakowanie ofiar jest bardzo przystępne. Za niewielką cenę dostaniecie bardzo potężne oprogramowanie. Na świecie jest około 3 miliarda użytkowników korzystających z Androida. To jest bardzo duże pole do popisu dla hakerów.

Przejmij wszystkie dane ze smartfona ofiary.

Jedno z najnowszych zabezpieczeń jest kombinacją dwóch typów złośliwego oprogramowania, z którym mieliśmy do czynienia już wcześniej. Dzięki takiej mieszance hakerzy otrzymują dostęp do prawie wszystkich informacji ze smartfona ofiary.

Zostało stworzone przez użytkownika Triangulum, który w Dark Web jest bardzo szanowany. Dopracował inne złośliwe oprogramowanie i nawiązał współpracę z innymi hakerami. W sieci pojawia się nawet jego reklama.

Co może Rogue RAT?

• namierza lokalizację GPS,
• wykonuje zrzuty ekranu,
• przejmuje aparat (może zdalnie robić zdjęcia),
• nagrywa rozmowy i wysyła na wskazany serwer,
• może zdalnie wykonać połączenie.

To tylko najbardziej oczywiste możliwości Rogue RAT. Większość komend i uprawnień tego oprogramowania znajdziecie na końcu tekstu.

Jak „podarować” złośliwe oprogramowanie?

Oczywiście Rogue RAT należy jeszcze umieścić w smartfonie ofiary i to może być trudniejsze. Bo dzięki obecnym zabezpieczeniom użytkownicy są lepiej chronienie. Z drugiej strony, to spowodowało, że są oni mniej uważni i bardzo mocno polegają na technologii. Przez to u wielu osób wyłącza się myślenie. Tutaj pojawia się uchylona furtka dla hakerów. Dzięki lekceważeniu bezpieczeństwa mogą oni wprowadzić aplikację zawierającą narzędzie do zdalnej administracji. Bardzo popularną metodą wydaje się również phishing. Niestety, ale wielu użytkowników dalej potrafi wykonać niebezpieczne polecenia podane w mailu. To się szybko nie zmieni.

Więc mamy dwie najczęściej wybierane metody: phishing i zainfekowane aplikacje.

Zajmiemy się atakiem wykorzystującym złośliwe aplikacje. Jak to wygląda?

• pobranie aplikacji,
• nadanie uprawnień (jeśli użytkownik ich nie nada, to aplikacja prosi o nie do skutku, co chwilę przypominając),
• Rogue otrzymuje uprawnienia,
• ukrywa swoją obecność,
• zabezpiecza się przed usunięciem.

Bardzo ciekawie wygląda „zabezpieczenie” przed usunięciem złośliwej aplikacji. Gdy użytkownik stwierdzi, że chce się pozbyć nowego oprogramowania, to otrzyma komunikat, że może stracić wszystkie dane. Aplikacja może zapytać ofiarę, czy chce stracić wszystkie dane. W takim przypadku większość użytkowników może odpuścić usuwanie programu.

Bądź bezpieczny.

Lepsza profilaktyka. Warto zwrócić uwagę na kilka punktów żeby lepiej się chronić. Dla większości z was są one oczywiste, ale nie dla wszystkich.

• Sprawdzaj uprawnienia, o które prosi aplikacja.
• Instaluj aktualizacje zabezpieczeń.
• Unikaj niesprawdzonych źródeł z oprogramowaniem.
• Nie bój się zadawać pytań.
• Nie instaluj zbędnych aplikacji.

Komendy i możliwości Rogue RAT:

Command	Description	Configuration
getLocation	Add current location and current timestamp to the Firebase Database.
getMessages	SMS messages and the current timestamp are added to the Firebase Database.
makeCall	Application initiates a phone call to a provided phone number. If there is no phone number provided, the call goes to “+91987654321”. The number “+91987654321” seems to be a defafult value for command, however it is not a coincidence that it begins with India’s country code (91).	Disabled
getImages	Make thumbnails of an album with its name and upload thumbnails to the Firebase Cloud Store. A list of uploaded thumbnails is stored in the Firebase Database.
deleteCallLog	Removes records from the provided type of call-log.
fileExplorer	Store a list of directories by a provided path in the Firebase Database.
recordCamera	Starts recording from selected cameras and for a provided duration. The video is recorded to a local file. After recording, the video-file is uploaded to the Firebase Cloud Store.	Disabled
installApp	Installs an application from a provided URL.
syncWhatsappMessages	Upload messages collected from chat programs to the Firebase Database.
fileDownloadToLocal	Downloads a file from a provided URL to a provided local path.
deviceAdmin	Activates the device admin permission for an application.
openApp	Launches an application with a provided name.
getContacts	Uploads all contacts to the Firebase Database.
getContacts	Uploads call logs to the Firebase Database.
root	Executes a shell command. The output of the command is stored in the Firebase Database.
takePicture	Takes a photo from a selected camera (back or front) and uploads the photo to the Firebase Cloud Store.	Disabled
deleteFile	Deletes a file or directory per the provided path.
downloadFile / uploadFile	Uploads a file by a provided path to the Firebase Cloud Store.
sendMessage	Sends a custom SMS message to a specified number.
recordScreen	Records a video of the device’s screen. The video is recorded to a local file. After recording, the video-file is uploaded to the Firebase Cloud Store.	Disabled
deleteContact	Deletes a specified contact.
updateCallBlockList	Updates the local list of call blocked numbers with a list from the Firebase Database.
takeScreenShot	Takes a screenshot of the current screen. The screenshot is uploaded to the Firebase Cloud Store.	Disabled
recordAudio	Starts recording from a microphone for a provided duration. The audio is recorded to a local file. After recording, the audio-file is uploaded to the Firebase Cloud Store.
deviceInfo	Collects information about the device: • Phone number • Network provider • Username • List of device user accounts • SDK version • User-visible version string • Device serial number • Device name, brand, board, manufacturer • IMEI • Battery level • Network connection status • WiFi connection information, DHCP status • WiFi scan results with available Access Points • IPv4 and IPv6 addresses The information is stored in the Firebase Database.
cancelScheduledCommand	Cancels the execution of a scheduled pending command.
usageStats	Gets statistics of the device’s applications usage. The following fields are sent to the C&C server: • Package name • Foreground time • Timestamp of first time used • Timestamp of last time used System applications are eliminated from the statistics. The information is stored in the Firebase Database.	Disabled
getInstalledApps	Stores the current timestamp and list of installed applications in the Firebase Database.
deleteFiles	Deletes files from the device by a provided path.
openBrowser	Opens the Chrome browser and navigates to a specific URL.	Disabled
zipFiles	Zips files in a specified path. The resulting zip-file is uploaded to the Firebase Cloud Store.
addContact	Creates a new contact.
login	Attempts to log back into the Firebase account with a provided email and password.
getAllScheduledTasks	Dumps all scheduled tasks into a log and uploads it to the C&C server.
cancelAllScheduledCommands	Similar to “cancelScheduledCommand” but for all pending commands.
addCallLog	Adds a new record to the call log with a provided number, the duration, date, and the type of the call.
updateFCMToken	Updates the token that is used for the Firebase service.
deleteApp	Uninstalls application by a provided package name.	Disabled
clearWhatsappMessages	Removes saved sniffed IM messages from applications in the local database. It is possible to remove all messages or only messages that belong to one of the sniffed applications (e.g. “com.whatsapp”).
runJobScheduler	Starts a scheduler for executing jobs scheduled by the “scheduleCommand” command.

Jeśli chcesz zapoznać się szczegółowo z Rogue RAT, to zajrzyj tutaj: https://research.checkpoint.com/2021/going-rogue-a-mastermind-behind-android-malware-returns-with-a-new-rat/

O ostatniej aktualizacji zabezpieczeń Androida przeczytasz tutaj: https://www.androidowy.pl/zabezpieczenia-android/783/