Programari maliciós DogeRAT

Durant una investigació exhaustiva sobre una campanya enganyosa de col·leccionistes d'SMS, els investigadors de ciberseguretat van fer un descobriment notable d'un nou programari maliciós d'Android de codi obert anomenat DogeRAT (troià d'accés remot). Aquest programari amenaçador està dissenyat específicament per orientar-se a una àmplia base de clients en diverses indústries, amb un enfocament particular als sectors bancaris i d'entreteniment. Tot i que els objectius principals d'aquesta campanya eren els usuaris de l'Índia, el seu abast s'estén a tot el món. Els autors d'aquest programari maliciós utilitzen plataformes de xarxes socials i aplicacions de missatgeria com a canals de distribució, disfressant el programari maliciós com a aplicació legítima. Els experts en infosec van revelar detalls sobre l'amenaça mòbil DogeRAT i la seva campanya d'atac.

Els actors d'amenaça poden utilitzar DogeRAT per fer-se càrrec del dispositiu i treure informació sensible

Després d'instal·lar-se en un dispositiu, el programari maliciós inicia una sèrie de sol·licituds de permisos, inclòs l'accés als registres de trucades, enregistraments d'àudio, missatges SMS, fitxers multimèdia i fotos. Aquests permisos són explotats pel programari maliciós per manipular el dispositiu, facilitant l'execució de diverses activitats nocives sense el coneixement o consentiment de l'usuari. Aquestes activitats inclouen la transmissió de missatges de correu brossa, transaccions de pagament no autoritzades, modificacions no autoritzades de fitxers i captura de fotos discretament amb la càmera del dispositiu.

DogeRAT opera mitjançant un codi del costat del servidor basat en Java desenvolupat a NodeJs, que permet una comunicació perfecta entre el programari maliciós i el bot de Telegram de l'operació d'atac. A més, el programari maliciós aprofita una vista web per mostrar l'URL de l'entitat objectiu, camuflant eficaçment les seves intencions amenaçadores i semblant més autèntic per als usuaris.

DogeRAT s'ofereix a la venda a través dels canals de Telegram

Els creadors de DogeRAT han tingut un paper actiu en la promoció del seu programari maliciós a través de dos canals de Telegram. A més de la versió estàndard, l'autor ofereix una versió premium d'una amenaça mòbil que compta amb funcionalitats avançades. Aquesta versió actualitzada inclou funcions com ara capturar captures de pantalla, recopilar imatges de la galeria del dispositiu, funcionar com a registrador de tecles per registrar les pulsacions de tecles, extreure informació del porta-retalls i introduir un nou gestor de fitxers. A més, la versió premium emfatitza la persistència millorada i estableix connexions de bot més fluides amb el dispositiu infectat.

Per donar més suport a la distribució i l'ús de DogeRAT, l'autor ha configurat un repositori GitHub. Aquest repositori serveix com a plataforma d'allotjament per a la RAT i proporciona recursos addicionals, com ara un vídeo tutorial. El repositori també presenta una llista completa de funcions i capacitats que ofereix DogeRAT, destacant encara més el seu potencial amenaçador.

DogeRAT és un altre exemple que la motivació financera subjacent és la raó principal que impulsa els estafadors a desenvolupar les seves tàctiques contínuament. Com a resultat, els vectors d'infecció abusats pels grups cibercriminals s'han estès més enllà de la creació de llocs web de pesca, ja que ara també recorren a la distribució de troians d'accés remot (RAT) modificats o a la reutilització d'aplicacions amenaçadores existents. Mitjançant l'ús d'aquestes campanyes enganyoses de baix cost i fàcils de desplegar, els estafadors poden obtenir un rendiment substancial de les seves activitats il·lícites.