Κακόβουλο λογισμικό DogeRAT
Κατά τη διάρκεια μιας ενδελεχούς έρευνας για μια παραπλανητική εκστρατεία συλλογής SMS, ερευνητές στον κυβερνοχώρο ανακάλυψαν ένα νέο κακόβουλο λογισμικό ανοιχτού κώδικα Android που ονομάζεται DogeRAT (Remote Access Trojan). Αυτό το απειλητικό λογισμικό έχει σχεδιαστεί ειδικά για να στοχεύει σε μια ευρεία πελατειακή βάση σε διάφορους κλάδους, με ιδιαίτερη έμφαση στους τομείς των Τραπεζών και της Ψυχαγωγίας. Ενώ οι κύριοι στόχοι αυτής της καμπάνιας ήταν χρήστες στην Ινδία, το εύρος της εκτείνεται παγκοσμίως. Οι δράστες αυτού του κακόβουλου λογισμικού χρησιμοποιούν πλατφόρμες μέσων κοινωνικής δικτύωσης και εφαρμογές ανταλλαγής μηνυμάτων ως κανάλια διανομής, συγκαλύπτοντας το κακόβουλο λογισμικό ως νόμιμη εφαρμογή. Λεπτομέρειες σχετικά με την απειλή για κινητά DogeRAT και την εκστρατεία επίθεσης του αποκαλύφθηκαν από τους ειδικούς του infosec.
Οι ηθοποιοί απειλών μπορούν να χρησιμοποιήσουν το DogeRAT για να καταλάβουν τη συσκευή και να αφαιρέσουν ευαίσθητες πληροφορίες
Αφού εγκατασταθεί σε μια συσκευή, το κακόβουλο λογισμικό ξεκινά μια σειρά από αιτήματα αδειών, συμπεριλαμβανομένης της πρόσβασης σε αρχεία καταγραφής κλήσεων, ηχογραφήσεις, μηνύματα SMS, αρχεία πολυμέσων και φωτογραφίες. Αυτά τα δικαιώματα εκμεταλλεύονται το κακόβουλο λογισμικό για τον χειρισμό της συσκευής, διευκολύνοντας την εκτέλεση διαφόρων επιβλαβών δραστηριοτήτων χωρίς τη γνώση ή τη συγκατάθεση του χρήστη. Τέτοιες δραστηριότητες περιλαμβάνουν τη μετάδοση ανεπιθύμητων μηνυμάτων, τις μη εξουσιοδοτημένες συναλλαγές πληρωμών, τις μη εξουσιοδοτημένες τροποποιήσεις αρχείων και τη διακριτική λήψη φωτογραφιών χρησιμοποιώντας την κάμερα της συσκευής.
Το DogeRAT λειτουργεί μέσω ενός κώδικα διακομιστή Java που αναπτύχθηκε στο NodeJs, ο οποίος επιτρέπει την απρόσκοπτη επικοινωνία μεταξύ του κακόβουλου λογισμικού και του Telegram Bot της λειτουργίας επίθεσης. Επιπλέον, το κακόβουλο λογισμικό αξιοποιεί μια προβολή Ιστού για να εμφανίσει τη διεύθυνση URL της στοχευόμενης οντότητας, καμουφλάροντας αποτελεσματικά τις απειλητικές προθέσεις του και εμφανίζεται πιο αυθεντικό στους χρήστες.
Το DogeRAT προσφέρεται προς πώληση μέσω καναλιών Telegram
Οι δημιουργοί του DogeRAT έχουν αναλάβει ενεργό ρόλο στην προώθηση του κακόβουλου λογισμικού τους μέσω δύο καναλιών Telegram. Εκτός από την τυπική έκδοση, ο συγγραφέας προσφέρει μια έκδοση premium μιας απειλής για κινητά που διαθέτει προηγμένες λειτουργίες. Αυτή η αναβαθμισμένη έκδοση περιλαμβάνει λειτουργίες όπως λήψη στιγμιότυπων οθόνης, συλλογή εικόνων από τη συλλογή της συσκευής, λειτουργία καταγραφής πληκτρολογίου για εγγραφή πληκτρολογήσεων, εξαγωγή πληροφοριών από το πρόχειρο και εισαγωγή ενός νέου διαχειριστή αρχείων. Επιπλέον, η έκδοση premium δίνει έμφαση στη βελτιωμένη ανθεκτικότητα και δημιουργεί πιο ομαλές συνδέσεις bot με τη μολυσμένη συσκευή.
Για περαιτέρω υποστήριξη της διανομής και της χρήσης του DogeRAT, ο συγγραφέας έχει δημιουργήσει ένα αποθετήριο GitHub. Αυτό το αποθετήριο χρησιμεύει ως πλατφόρμα φιλοξενίας για το RAT και παρέχει πρόσθετους πόρους, όπως ένα εκπαιδευτικό βίντεο. Το αποθετήριο παρουσιάζει επίσης μια ολοκληρωμένη λίστα χαρακτηριστικών και δυνατοτήτων που προσφέρονται από το DogeRAT, υπογραμμίζοντας περαιτέρω τις απειλητικές δυνατότητές του.
Το DogeRAT είναι ένα άλλο παράδειγμα ότι το υποκείμενο οικονομικό κίνητρο είναι ο κύριος λόγος που οδηγεί τους απατεώνες να εξελίσσουν συνεχώς τις τακτικές τους. Ως αποτέλεσμα, οι φορείς μόλυνσης που καταχρώνται από κυβερνοεγκληματικές ομάδες έχουν επεκταθεί πέρα από τη δημιουργία ιστότοπων phishing, καθώς πλέον καταφεύγουν στη διανομή τροποποιημένων Trojan Remote Access (RAT) ή στην επαναχρησιμοποίηση υπαρχουσών απειλητικών εφαρμογών. Χρησιμοποιώντας αυτές τις χαμηλού κόστους και εύκολα εφαρμόσιμες παραπλανητικές καμπάνιες, οι απατεώνες μπορούν να επιτύχουν σημαντικές αποδόσεις από τις παράνομες δραστηριότητές τους.
