Malware DogeRAT
Durante un'indagine approfondita su una campagna fuorviante di raccolta di SMS, i ricercatori di sicurezza informatica hanno scoperto un nuovo malware Android open source chiamato DogeRAT (Remote Access Trojan). Questo software minaccioso è specificamente progettato per rivolgersi a un'ampia base di clienti in vari settori, con particolare attenzione ai settori bancario e dell'intrattenimento. Sebbene gli obiettivi principali di questa campagna fossero gli utenti in India, il suo ambito si estende a livello globale. Gli autori di questo malware utilizzano piattaforme di social media e applicazioni di messaggistica come canali di distribuzione, mascherando il malware come applicazione legittima. I dettagli sulla minaccia mobile DogeRAT e la sua campagna di attacco sono stati rivelati dagli esperti di infosec.
Gli attori delle minacce possono utilizzare DogeRAT per impossessarsi del dispositivo e sottrarre informazioni sensibili
Dopo essere stato installato su un dispositivo, il malware avvia una serie di richieste di autorizzazione, incluso l'accesso a registri delle chiamate, registrazioni audio, messaggi SMS, file multimediali e foto. Queste autorizzazioni vengono sfruttate dal malware per manipolare il dispositivo, facilitando l'esecuzione di varie attività dannose all'insaputa o al consenso dell'utente. Tali attività includono la trasmissione di messaggi spam, transazioni di pagamento non autorizzate, modifiche non autorizzate di file e l'acquisizione discreta di foto utilizzando la fotocamera del dispositivo.
DogeRAT opera attraverso un codice lato server basato su Java sviluppato in NodeJs, che consente una comunicazione senza soluzione di continuità tra il malware e il Telegram Bot dell'operazione di attacco. Inoltre, il malware sfrutta una visualizzazione Web per visualizzare l'URL dell'entità presa di mira, camuffando efficacemente le sue intenzioni minacciose e apparendo più autentico agli utenti.
DogeRAT è offerto in vendita tramite i canali Telegram
I creatori di DogeRAT hanno assunto un ruolo attivo nella promozione del loro malware attraverso due canali Telegram. Oltre alla versione standard, l'autore offre una versione premium di una minaccia mobile che vanta funzionalità avanzate. Questa versione aggiornata include funzionalità come l'acquisizione di schermate, la raccolta di immagini dalla galleria del dispositivo, il funzionamento come keylogger per registrare le sequenze di tasti, l'estrazione di informazioni dagli appunti e l'introduzione di un nuovo file manager. Inoltre, la versione premium enfatizza una maggiore persistenza e stabilisce connessioni bot più fluide con il dispositivo infetto.
Per supportare ulteriormente la distribuzione e l'utilizzo di DogeRAT, l'autore ha creato un repository GitHub. Questo repository funge da piattaforma di hosting per il RAT e fornisce risorse aggiuntive, come un tutorial video. Il repository presenta anche un elenco completo di funzionalità e capacità offerte da DogeRAT, evidenziando ulteriormente il suo potenziale minaccioso.
DogeRAT è un altro esempio del fatto che la motivazione finanziaria sottostante è la ragione principale che spinge i truffatori a evolvere continuamente le loro tattiche. Di conseguenza, i vettori di infezione abusati dai gruppi di criminali informatici si sono estesi oltre la creazione di siti Web di phishing, poiché ora ricorrono anche alla distribuzione di trojan ad accesso remoto (RAT) modificati o al riutilizzo di applicazioni minacciose esistenti. Utilizzando queste campagne fuorvianti a basso costo e facilmente implementabili, i truffatori possono ottenere sostanziali ritorni sulle loro attività illecite.
