Sandro Rat

Un nuovo minaccioso RAT (Remote Access Trojan) chiamato Sandro sta prendendo di mira gli utenti Android. La minaccia è potente, estremamente e può consentire all'attore della minaccia il controllo quasi completo sui dispositivi compromessi. I RAT sono minacce malware versatili che possono essere utilizzate in una varietà di schemi nefasti, a seconda degli obiettivi particolari degli hacker.

In quasi tutti i casi, i RAT Android come Sandro sfruttano i servizi di accessibilità legittimi per svolgere le loro operazioni dannose. I servizi di accessibilità sono progettati per aiutare gli utenti che necessitano di ulteriore assistenza durante l'interazione con i propri dispositivi mobili. Queste opzioni includono la lettura e l'accesso alle informazioni visualizzate, oltre a tutto ciò che l'utente inserisce. Allo stesso tempo, i servizi di accessibilità possono simulare i gesti sullo schermo e interagire con il touchscreen del dispositivo. Senza i servizi di accessibilità, la maggior parte dei RAT sarà estremamente limitata nelle loro funzioni, ed è per questo che infastidirebbero gli utenti con notifiche pop-up che richiedono che la funzione sia abilitata incessantemente.

Una volta stabilite sul dispositivo dell'utente, Sandro e il resto delle minacce Android RAT possono iniziare a ottenere informazioni che verranno poi esfiltrate su server remoti sotto il controllo degli hacker. Il malware può registrare audio e video tramite il microfono e le telecamere del dispositivo. I criminali potrebbero anche manipolare le applicazioni sul dispositivo accedendole, visualizzandole, spostandole, eseguendole o addirittura eliminandole. Lo stesso vale anche per tutti i file che le vittime potrebbero aver memorizzato sul sistema infetto.

I RAT potrebbero anche essere utilizzati come veicolo di consegna per ulteriori minacce malware che verranno eliminate e quindi eseguite. Molto spesso, questi payload sono per screen locker, criptatori di file, cripto-miner, ecc.

Il Sandro RAT deve essere rimosso il prima possibile. La sua presenza potrebbe portare a gravi problemi relativi alla privacy, poiché la minaccia potrebbe stabilire routine di keylogging. Vari pop-up di phishing e finestre sovrapposte appositamente predisposte che imitano le pagine di accesso di legittime applicazioni bancarie, finanziarie, social media e altre popolari applicazioni, potrebbero essere utilizzate per raccogliere tutte le informazioni inserite in esse.