Rogue RAT

Il mercato dei criminali informatici sul Dark Web continua ad evolversi e lo stesso può essere osservato accadere con gli strumenti malware che vengono offerti. Anche i criminali con conoscenze tecniche estremamente limitate possono ora acquistare una minaccia malware sofisticata a prezzi estremamente bassi invece di dover investire una grande somma, come è stato il caso più comune in precedenza. Infatti, i ricercatori di infosec hanno scoperto che un potente RAT (Remote Access Trojan) chiamato Rogue viene venduto nei forum degli hacker sotterranei per meno di $ 30.

L'analisi del codice sottostante di Rogue RAT ha rivelato che la minaccia non è tanto una creazione unica quanto una combinazione di due famiglie RAT Android già consolidate. Prendendo in prestito dalle famiglie Cosmo e Hawkshaw, le persone responsabili di Rogue RAT hanno creato una minaccia con una vasta gamma di funzionalità dannose. Quando è completamente distribuito sul dispositivo Android di un utente, il RAT avvia un processo di keylogging che gli consente di raccogliere le credenziali di accesso al sito Web, i nomi utente e le password delle applicazioni e, soprattutto, i dettagli bancari. Rogue offre un kit completo di funzioni di spionaggio ai suoi operatori: possono tracciare la posizione GPS del dispositivo compromesso, acquisire schermate e foto arbitrarie attraverso la fotocamera del dispositivo, registrare audio e molto altro.

Tuttavia, per essere in grado di eseguire le sue operazioni minacciose, Rogue RAT chiede prima all'utente di concedergli le autorizzazioni richieste. Se rifiutato, il RAT continuerà a infastidire l'utente con finestre pop-up che chiedono le autorizzazioni fino a quando la richiesta non viene finalmente accettata. Rogue si registrerà immediatamente come amministratore del dispositivo e rimuoverà la sua icona dallo schermo del dispositivo. Per mantenere le sue capacità, la minaccia malware impiega una tattica comune - cercando di spaventare l'utente e lasciarlo in pace - se la vittima tenta di revocare manualmente i diritti ottenuti dalla minaccia, un messaggio che pone la domanda allarmante di "Sei sicuro di cancellare tutti i dati? emergerà. Rogue RAT sfrutta il servizio Firebase di Google per le applicazioni per aumentare le sue possibilità di rimanere nascosti ed evitare il rilevamento da soluzioni anti-malware, il che gli consente di presentarsi come un'applicazione legittima.

Il vettore di attacco iniziale utilizzato nella distribuzione di Rogue RAT dipende dallo specifico client del criminale informatico. Possono scegliere di impostare una campagna di phishing che invii e-mail con allegati compromessi, iniettare il RAT in applicazioni false, provare a indurre gli utenti a scaricarle o qualche altro metodo che hanno scelto.