DogeRAT rosszindulatú program

Egy SMS-gyűjtő félrevezető kampányának alapos vizsgálata során a kiberbiztonsági kutatók figyelemre méltó felfedezést tettek egy új, nyílt forráskódú Android rosszindulatú programra, a DogeRAT-ra (Remote Access Trojan). Ezt a fenyegető szoftvert kifejezetten arra tervezték, hogy széles ügyfélkört célozzon meg különféle iparágakban, különös tekintettel a banki és szórakoztató szektorra. Míg ennek a kampánynak az elsődleges célpontjai az indiai felhasználók voltak, hatóköre globálisan kiterjed. Ennek a kártevőnek az elkövetői közösségi média platformokat és üzenetküldő alkalmazásokat használnak terjesztési csatornákként, a kártevőt legitim alkalmazásnak álcázva. A DogeRAT mobilfenyegetésről és annak támadási kampányáról árultak el részleteket az infosec szakértői.

A fenyegetés szereplői a DogeRAT segítségével átvehetik az eszközt, és elvihetik a bizalmas információkat

Miután telepítették az eszközre, a kártevő engedélykérések sorozatát kezdeményezi, beleértve a hívásnaplókhoz, hangfelvételekhez, SMS-üzenetekhez, médiafájlokhoz és fényképekhez való hozzáférést. Ezeket az engedélyeket a rosszindulatú program az eszköz manipulálására használja ki, megkönnyítve ezzel a különböző káros tevékenységek végrehajtását a felhasználó tudta vagy beleegyezése nélkül. Ilyen tevékenységek közé tartozik a spam üzenetek továbbítása, a jogosulatlan fizetési tranzakciók, a fájlok jogosulatlan módosítása, valamint a fotók diszkrét rögzítése a készülék kamerájával.

A DogeRAT a NodeJ-ben kifejlesztett Java-alapú szerveroldali kódon keresztül működik, amely zökkenőmentes kommunikációt tesz lehetővé a rosszindulatú program és a támadási művelet Telegram Botja között. Ezenkívül a rosszindulatú program a webes nézetet használja a megcélzott entitás URL-jének megjelenítéséhez, hatékonyan álcázva fenyegető szándékait, és hitelesebbnek tűnik a felhasználók számára.

A DogeRAT-ot távirati csatornákon keresztül kínálják eladásra

A DogeRAT alkotói aktív szerepet vállaltak rosszindulatú programjaik népszerűsítésében két Telegram csatornán keresztül. A szabványos verzió mellett a szerző a mobil fenyegetés prémium verzióját kínálja, amely fejlett funkciókkal büszkélkedhet. Ez a frissített verzió olyan funkciókat tartalmaz, mint a képernyőképek rögzítése, a képek gyűjtése az eszköz galériájából, a billentyűleütések rögzítésére szolgáló billentyűnaplózó funkció, a vágólapra vonatkozó információk kinyerése és egy új fájlkezelő bevezetése. Ezenkívül a prémium verzió a fokozott tartósságot hangsúlyozza, és simább botkapcsolatokat hoz létre a fertőzött eszközzel.

A DogeRAT terjesztésének és használatának további támogatása érdekében a szerző létrehozott egy GitHub adattárat. Ez az adattár a RAT tárhelyeként szolgál, és további forrásokat biztosít, például egy oktatóvideót. Az adattár a DogeRAT által kínált funkciók és képességek átfogó listáját is bemutatja, tovább hangsúlyozva a fenyegető potenciált.

A DogeRAT egy másik példa arra, hogy a mögöttes pénzügyi motiváció a fő ok, ami arra készteti a csalókat, hogy folyamatosan alakítsák taktikájukat. Ennek eredményeként a kiberbűnözői csoportok által visszaélt fertőzési vektorok túlterjedtek az adathalász webhelyek létrehozásán, mivel mostantól módosított távelérési trójaiak (RAT) terjesztéséhez vagy a meglévő fenyegető alkalmazások újrahasznosításához is folyamodnak. Az alacsony költségű és könnyen bevethető félrevezető kampányok használatával a szélhámosok jelentős megtérülést érhetnek el tiltott tevékenységeikből.