Rogue RAT

Det cyberkriminelle marked på Dark Web udvikler sig fortsat, og det samme kan ses med de malware-værktøjer, der tilbydes. Selv skurke med ekstremt begrænset teknisk viden kan nu købe en sofistikeret malware-trussel til ekstremt lave priser i stedet for at skulle investere et stort beløb, som det har været den mest almindelige sag før. Faktisk har infosec-forskere fundet ud af, at en potent RAT (Remote Access Trojan) kaldet Rogue sælges på underjordiske hackerfora for mindre end $ 30.

Analyse af Rogue RATs underliggende kode afslørede, at truslen ikke så meget er en unik skabelse, da det er en kombination af to allerede etablerede Android RAT-familier. Ved at låne fra både Cosmo og Hawkshaw-familierne har de ansvarlige for Rogue RAT skabt en trussel med en lang række skadelige funktioner. Når den er fuldt implementeret på en brugers Android-enhed, starter RAT en nøglelogningsproces, der gør det muligt at høste loginoplysninger til websteder, brugernavne og adgangskoder til applikationer og endnu vigtigere bankoplysninger. Rogue tilbyder et komplet spionagesæt med funktioner til sine operatører - de kan spore den kompromitterede enheds GPS-placering, tage vilkårlige skærmbilleder og fotos gennem enhedens kamera, optage lyd og meget mere.

For at kunne udføre sine truende operationer beder Rogue RAT dog først brugeren om at give den de nødvendige tilladelser. Hvis det nægtes, fortsætter RAT med at plage brugeren med pop op-vinduer, der beder om tilladelser, indtil anmodningen endelig accepteres. Rogue registrerer sig straks som enhedsadministrator og fjerner ikonet fra enhedens skærm. For at opretholde sine kapaciteter anvender malware-truslen en fælles taktik - forsøger at skræmme brugeren til at lade den være alene - hvis offeret forsøger at tilbagekalde rettighederne opnået ved truslen manuelt, en besked der spørger det alarmerende spørgsmål om 'Er du sikker på at udslette alle data? ' vil dukke op. Rogue RAT udnytter Googles Firebase-tjeneste til applikationer for at øge sine chancer for at forblive skjult og undgå afsløring fra anti-malware-løsninger, hvilket gør det muligt at udgøre som en legitim applikation.

Den indledende angrebsvektor anvendt i distributionen af Rogue RAT afhænger af den specifikke cyberkriminelle klient. De kan vælge at oprette en phishing-kampagne, der leverer e-mails med kompromitterede vedhæftede filer, injicere RAT i falske applikationer, prøve at narre brugere til at downloade dem eller en anden metode, de har valgt.