Sandro Rat

Een nieuwe bedreigende RAT (Remote Access Trojan) genaamd Sandro richt zich op Android-gebruikers. De dreiging is krachtig, extreem en kan de dreigingsacteur bijna volledige controle geven over de gecompromitteerde apparaten. RAT's zijn veelzijdige malwarebedreigingen die kunnen worden gebruikt in verschillende snode schema's, afhankelijk van de specifieke doelen van de hackers.

In bijna alle gevallen maken Android RAT's zoals Sandro gebruik van legitieme toegankelijkheidsservices om hun schadelijke activiteiten uit te voeren. Toegankelijkheidsservices zijn ontworpen om gebruikers te helpen die extra hulp nodig hebben bij de interactie met hun mobiele apparaten. Deze opties omvatten het lezen en openen van weergegeven informatie, evenals alles wat de gebruiker invoert. Tegelijkertijd kunnen toegankelijkheidsdiensten schermgebaren simuleren en communiceren met het touchscreen van het apparaat. Zonder toegankelijkheidsservices zullen de meeste RAT's beperkt zijn in hun functies, extreem en daarom zouden ze gebruikers lastigvallen met pop-upmeldingen waarin werd gevraagd om de functie onophoudelijk in te schakelen.

Zodra ze zich op het apparaat van de gebruiker hebben gevestigd, kunnen Sandro en de rest van de Android RAT-bedreigingen beginnen met het verkrijgen van informatie die vervolgens wordt geëxfiltreerd naar externe servers onder de controle van de hackers. De malware kan audio en video opnemen via de microfoon en camera's van het apparaat. De criminelen zouden ook de applicaties op het apparaat kunnen manipuleren door ze te openen, te bekijken, te verplaatsen, uit te voeren of zelfs te verwijderen. Hetzelfde geldt ook voor alle bestanden die de slachtoffers mogelijk op het geïnfecteerde systeem hebben opgeslagen.

RAT's kunnen ook worden gebruikt als een bezorgmiddel voor aanvullende malwarebedreigingen die worden verwijderd en vervolgens worden uitgevoerd. Meestal zijn deze payloads bedoeld voor schermvergrendelingen, bestandsencryptors, crypto-miners, enz.

De Sandro RAT moet zo snel mogelijk worden verwijderd. Zijn aanwezigheid zou kunnen leiden tot ernstige privacygerelateerde problemen, aangezien de dreiging keylogging-routines zou kunnen veroorzaken. Verschillende phishing-pop-ups en speciaal vervaardigde overlay-vensters die de inlogpagina's van legitieme bank-, financiële, sociale media en andere populaire applicaties nabootsen, kunnen worden gebruikt om alle informatie die erin wordt ingevoerd te verzamelen.