OmniRAT

OmniRAT er et fjernadministrationsværktøj, der er meget i DroidJacks vene, men udstyret med stærkt udvidede muligheder. Mens DroidJack kun var i stand til at tage kontrol over Android-enheder, fungerer OmniRAT på Windows-, Linux- og Mac-enheder. En anden forskel var, at mens DroidJack ville kræve, at du gaffel op til $ 210, var OmniRAT tilgængelig til en betydeligt lavere pris på $ 25 eller 50, afhængigt af hvilket niveau kunden har valgt.

Fjernadministrationsværktøjer er af deres art ikke truende; de giver simpelthen brugerne mulighed for at få adgang til og udføre opgaver på deres enheder eksternt. Problemet er, at sådanne programmer let kan bruges af hackere og genoprettes til at fungere som en grundlæggende del af deres kriminelle aktiviteter. Selv den umodificerede version af OmniRAT kunne faktisk udføre kommandoer, optage lyd, tælle kørende processer eller tjenester på enheden, få adgang til kontaktlister, foretage telefonopkald og sende beskeder og få adgang til og slette browserhistorikken osv. Ikke overraskende, kort tid efter programmet blev lanceret, blev en SMS-angrebskampagne, der leverede en brugerdefineret version af OmniRAT, opdaget.

Nyttelasten blev distribueret via SMS-beskeder, der hævdede, at den målrettede bruger havde modtaget en MMS, men den kunne ikke leveres direkte på grund af Android-sårbarheden StageFright. Et link til et websted, hvor brugerne skulle indtaste deres telefonnumre og et kodenummer, der blev angivet i SMS'en, førte til at downloade og installere en APK-fil med OmniRAT. Applikationen kræver derefter at modtage forskellige påtrængende tilladelser, hvilket ikke adskiller sig fra adfærd for legitime applikationer, og hvis det lykkes, får hackerne fuld kontrol over den kompromitterede enhed. OmniRAT kunne derefter spredes yderligere ved at sende SMS-beskeder fra enheden til brugerens kontaktlister.

Mens forfatterne af OmniRAT havde erklæret på programmets officielle hjemmeside, at de ikke støtter nogen ulovlig brug af applikationen, og skønsbeføjelsen alene henhører under kunderne, hjalp det ikke, da det tyske politi i 2019 plyndrede deres hus og beslaglagde deres bærbare computere, computere og mobile enheder. Raidet var sandsynligvis en del af efterforskningen af et cyberangreb, der fandt sted et par måneder før. Dette svarer til operationen i 2015 mod DroidJack.

Hackerne lancerede en kampagne mod virksomheder, der arbejder i flere brancher. Den første udnyttelse, der blev brugt til at kompromittere de målrettede computere, var en sårbarhed med fjernkørsel af kode med CVE-2016-7262-betegnelse i Microsoft Excel. Det forgiftede Excel-regneark var designet til at se ud som om det blev sendt af 'Kuwait Petroleum Corporation (KPC).' Nyttelasten, den leverede, var OmniRAT.