OmniRAT

OmniRAT è uno strumento di amministrazione remota molto simile a DroidJack ma dotato di funzionalità notevolmente ampliate. Mentre DroidJack era in grado di assumere il controllo esclusivamente dei dispositivi Android, OmniRAT funziona su dispositivi Windows, Linux e Mac. Un'altra differenza era che mentre DroidJack richiedeva di sborsare fino a $210, OmniRAT era disponibile a un costo significativamente inferiore di $25 o 50, a seconda del livello scelto dal cliente.

Per loro natura, gli strumenti di amministrazione remota non sono minacciosi; forniscono semplicemente agli utenti i mezzi per accedere e svolgere attività sui propri dispositivi in remoto. Il problema è che tali programmi possono essere facilmente appropriati dagli hacker e riutilizzati per servire come parte fondamentale delle loro attività criminali. In effetti, anche la versione non modificata di OmniRAT potrebbe eseguire comandi, registrare audio, enumerare processi o servizi in esecuzione sul dispositivo, accedere a elenchi di contatti, effettuare chiamate telefoniche e inviare messaggi e accedere ed eliminare la cronologia di navigazione, ecc. Non sorprende che subito dopo il programma è stato lanciato, è stata rilevata una campagna di attacco SMS che fornisce una versione personalizzata di OmniRAT.

Il payload è stato distribuito tramite messaggi SMS che affermavano che l'utente mirato aveva ricevuto un MMS, ma non poteva essere consegnato direttamente a causa della vulnerabilità di Android StageFright. Un collegamento a un sito Web in cui gli utenti dovevano inserire i propri numeri di telefono e un numero di codice fornito nell'SMS hanno portato al download e all'installazione di un file APK contenente OmniRAT. L'applicazione richiede quindi di ricevere varie autorizzazioni intrusive, che non è molto diverso dal comportamento delle applicazioni legittime e, se ha successo, agli hacker verrà concesso il pieno controllo sul dispositivo compromesso. OmniRAT potrebbe quindi essere ulteriormente diffuso inviando messaggi SMS dal dispositivo agli elenchi di contatti dell'utente.

Mentre gli autori di OmniRAT avevano dichiarato sul sito ufficiale del programma che non supportano alcun uso illecito dell'applicazione e la discrezione ricade esclusivamente sui clienti, non è stato d'aiuto quando nel 2019 la polizia tedesca ha fatto irruzione nella loro casa e sequestrato i loro laptop, computer e dispositivi mobili. Il raid era molto probabilmente parte delle indagini su un attacco informatico avvenuto un paio di mesi prima. Questo è simile all'operazione del 2015 contro DroidJack.

Gli hacker hanno lanciato una campagna contro le aziende che lavorano in più settori. L'exploit iniziale utilizzato per compromettere i computer mirati era una vulnerabilità legata all'esecuzione di codice in modalità remota con designazione CVE-2016-7262 in Microsoft Excel. Il foglio di calcolo Excel avvelenato è stato progettato per apparire come se fosse stato inviato da "Kuwait Petroleum Corporation (KPC)". Il carico utile fornito era OmniRAT.