Złośliwe oprogramowanie jest coraz tańsze i dostępne dla prawie każdego. Dzięki takim zabiegom niebezpieczne narzędzia mogą trafiać do szerszego grona odbiorców. Takie rozwiązanie dostępne jest w Dark Web za jedyne 29,99 dolarów. To pokazuje, że atakowanie ofiar jest bardzo przystępne. Za niewielką cenę dostaniecie bardzo potężne oprogramowanie. Na świecie jest około 3 miliarda użytkowników korzystających z Androida. To jest bardzo duże pole do popisu dla hakerów.

Przejmij wszystkie dane ze smartfona ofiary.

Jedno z najnowszych zabezpieczeń jest kombinacją dwóch typów złośliwego oprogramowania, z którym mieliśmy do czynienia już wcześniej. Dzięki takiej mieszance hakerzy otrzymują dostęp do prawie wszystkich informacji ze smartfona ofiary.

Zostało stworzone przez użytkownika Triangulum, który w Dark Web jest bardzo szanowany. Dopracował inne złośliwe oprogramowanie i nawiązał współpracę z innymi hakerami. W sieci pojawia się nawet jego reklama.

Co może Rogue RAT?

  • namierza lokalizację GPS,
  • wykonuje zrzuty ekranu,
  • przejmuje aparat (może zdalnie robić zdjęcia),
  • nagrywa rozmowy i wysyła na wskazany serwer,
  • może zdalnie wykonać połączenie.
rogue rat

To tylko najbardziej oczywiste możliwości Rogue RAT. Większość komend i uprawnień tego oprogramowania znajdziecie na końcu tekstu.

Jak „podarować” złośliwe oprogramowanie?

Oczywiście Rogue RAT należy jeszcze umieścić w smartfonie ofiary i to może być trudniejsze. Bo dzięki obecnym zabezpieczeniom użytkownicy są lepiej chronienie. Z drugiej strony, to spowodowało, że są oni mniej uważni i bardzo mocno polegają na technologii. Przez to u wielu osób wyłącza się myślenie. Tutaj pojawia się uchylona furtka dla hakerów. Dzięki lekceważeniu bezpieczeństwa mogą oni wprowadzić aplikację zawierającą narzędzie do zdalnej administracji. Bardzo popularną metodą wydaje się również phishing. Niestety, ale wielu użytkowników dalej potrafi wykonać niebezpieczne polecenia podane w mailu. To się szybko nie zmieni.

Więc mamy dwie najczęściej wybierane metody: phishing i zainfekowane aplikacje.

Zajmiemy się atakiem wykorzystującym złośliwe aplikacje. Jak to wygląda?

  • pobranie aplikacji,
  • nadanie uprawnień (jeśli użytkownik ich nie nada, to aplikacja prosi o nie do skutku, co chwilę przypominając),
  • Rogue otrzymuje uprawnienia,
  • ukrywa swoją obecność,
  • zabezpiecza się przed usunięciem.

Bardzo ciekawie wygląda „zabezpieczenie” przed usunięciem złośliwej aplikacji. Gdy użytkownik stwierdzi, że chce się pozbyć nowego oprogramowania, to otrzyma komunikat, że może stracić wszystkie dane. Aplikacja może zapytać ofiarę, czy chce stracić wszystkie dane. W takim przypadku większość użytkowników może odpuścić usuwanie programu.

Bądź bezpieczny.

Lepsza profilaktyka. Warto zwrócić uwagę na kilka punktów żeby lepiej się chronić. Dla większości z was są one oczywiste, ale nie dla wszystkich.

  • Sprawdzaj uprawnienia, o które prosi aplikacja.
  • Instaluj aktualizacje zabezpieczeń.
  • Unikaj niesprawdzonych źródeł z oprogramowaniem.
  • Nie bój się zadawać pytań.
  • Nie instaluj zbędnych aplikacji.

Komendy i możliwości Rogue RAT:

CommandDescriptionConfiguration
getLocationAdd current location and current timestamp to the Firebase Database. 
getMessagesSMS messages and the current timestamp are added to the Firebase Database. 
makeCallApplication initiates a phone call to a provided phone number.
If there is no phone number provided, the call goes to “+91987654321”.
The number “+91987654321” seems to be a defafult value for command, however it is not a coincidence that it begins with India’s country code (91).
Disabled
getImagesMake thumbnails of an album with its name and upload thumbnails to the Firebase Cloud Store. A list of uploaded thumbnails is stored in the Firebase Database. 
deleteCallLogRemoves records from the provided type of call-log. 
fileExplorerStore a list of directories by a provided path in the Firebase Database. 
recordCameraStarts recording from selected cameras and for a provided
duration. The video is recorded to a local file. After recording, the video-file is uploaded to the Firebase Cloud Store.
Disabled
installAppInstalls an application from a provided URL. 
syncWhatsappMessagesUpload messages collected from chat programs to the Firebase Database. 
fileDownloadToLocalDownloads a file from a provided URL to a provided local path. 
deviceAdminActivates the device admin permission for an application. 
openAppLaunches an application with a provided name. 
getContactsUploads all contacts to the Firebase Database. 
getContactsUploads call logs to the Firebase Database. 
rootExecutes a shell command. The output of the command is stored in the Firebase Database. 
takePictureTakes a photo from a selected camera (back or front) and uploads the photo to the Firebase Cloud Store.Disabled
deleteFileDeletes a file or directory per the provided path. 
downloadFile / uploadFileUploads a file by a provided path to the Firebase Cloud Store. 
sendMessageSends a custom SMS message to a specified number. 
recordScreenRecords a video of the device’s screen. The video is recorded to a local file. After recording, the video-file is uploaded to the Firebase Cloud Store.Disabled
deleteContactDeletes a specified contact. 
updateCallBlockListUpdates the local list of call blocked numbers with a list from the Firebase Database. 
takeScreenShotTakes a screenshot of the current screen. The screenshot is uploaded to the Firebase Cloud Store.Disabled
recordAudioStarts recording from a microphone for a provided duration. The audio is recorded to a local file. After recording, the audio-file is uploaded to the Firebase Cloud Store. 
deviceInfoCollects information about the device:
• Phone number
• Network provider
• Username
• List of device user accounts
• SDK version
• User-visible version string
• Device serial number
• Device name, brand, board, manufacturer
• IMEI
• Battery level
• Network connection status
• WiFi connection information, DHCP status
• WiFi scan results with available Access Points
• IPv4 and IPv6 addresses

The information is stored in the Firebase Database.
 
cancelScheduledCommandCancels the execution of a scheduled pending command. 
usageStatsGets statistics of the device’s applications usage.

The following fields are sent to the C&C server:
• Package name
• Foreground time
• Timestamp of first time used
• Timestamp of last time used

System applications are eliminated from the statistics.

The information is stored in the Firebase Database.
Disabled
getInstalledAppsStores the current timestamp and list of installed applications in the Firebase Database. 
deleteFilesDeletes files from the device by a provided path. 
openBrowserOpens the Chrome browser and navigates to a specific URL.Disabled
zipFilesZips files in a specified path. The resulting zip-file is uploaded to the Firebase Cloud Store. 
addContactCreates a new contact. 
loginAttempts to log back into the Firebase account with a provided email and password. 
getAllScheduledTasksDumps all scheduled tasks into a log and uploads it to the C&C server. 
cancelAllScheduledCommandsSimilar to “cancelScheduledCommand” but for all pending commands. 
addCallLogAdds a new record to the call log with a provided number, the duration, date, and the type of the call. 
updateFCMTokenUpdates the token that is used for the Firebase service. 
deleteAppUninstalls application by a provided package name.Disabled
clearWhatsappMessagesRemoves saved sniffed IM messages from applications in the local database.
It is possible to remove all messages or only messages that belong to one of the sniffed applications (e.g. “com.whatsapp”).
 
runJobSchedulerStarts a scheduler for executing jobs scheduled by the
“scheduleCommand” command.

Jeśli chcesz zapoznać się szczegółowo z Rogue RAT, to zajrzyj tutaj: https://research.checkpoint.com/2021/going-rogue-a-mastermind-behind-android-malware-returns-with-a-new-rat/

O ostatniej aktualizacji zabezpieczeń Androida przeczytasz tutaj: https://www.androidowy.pl/zabezpieczenia-android/783/

Na blogu mogą pojawiać się linki partnerskie. Dzięki Tobie mogę być niezależny. To nic nie kosztuje. Dziękuję!

Dołącz do klubu Androidowy!
Jest nas 500+

* wymagane

Autor na blogu technologicznym Androidowy.pl Od ponad 13 lat w branży technologicznej. Technologia ma być praktyczna.

Skomentuj mój tekst