DogeRAT skadelig programvare

Under en grundig undersøkelse av en SMS-samler-villedende kampanje, gjorde cybersikkerhetsforskere en bemerkelsesverdig oppdagelse av en ny åpen kildekode Android-skadevare kalt DogeRAT (Remote Access Trojan). Denne truende programvaren er spesielt utviklet for å målrette mot en bred kundebase på tvers av ulike bransjer, med spesielt fokus på bank- og underholdningssektorene. Selv om hovedmålene for denne kampanjen var brukere i India, strekker dens omfang globalt. Gjerningsmennene til denne skadevaren bruker sosiale medieplattformer og meldingsapplikasjoner som distribusjonskanaler, og skjuler skadevaren som en legitim applikasjon. Detaljer om DogeRAT-mobiltrusselen og dens angrepskampanje ble avslørt av infosec-ekspertene.

Trusselaktører kan bruke DogeRAT til å ta over enheten og ta bort sensitiv informasjon

Etter å ha blitt installert på en enhet, starter skadelig programvare en rekke tillatelsesforespørsler, inkludert tilgang til anropslogger, lydopptak, SMS-meldinger, mediefiler og bilder. Disse tillatelsene utnyttes av skadelig programvare for å manipulere enheten, og forenkler utførelsen av ulike skadelige aktiviteter uten brukerens viten eller samtykke. Slike aktiviteter inkluderer overføring av spam-meldinger, uautoriserte betalingstransaksjoner, uautoriserte endringer av filer og diskret fotografering med enhetens kamera.

DogeRAT opererer gjennom en Java-basert serverside-kode utviklet i NodeJs, som muliggjør sømløs kommunikasjon mellom skadelig programvare og Telegram Bot for angrepsoperasjonen. I tillegg utnytter skadelig programvare en nettvisning for å vise URL-en til den målrettede enheten, effektivt kamuflere dens truende intensjoner og fremstå som mer autentisk for brukerne.

DogeRAT tilbys for salg via telegramkanaler

Skaperne av DogeRAT har tatt en aktiv rolle i å promotere deres skadevare gjennom to Telegram-kanaler. I tillegg til standardversjonen tilbyr forfatteren en premiumversjon av en mobiltrussel som kan skryte av avanserte funksjoner. Denne oppgraderte versjonen inkluderer funksjoner som å ta skjermbilder, samle bilder fra enhetens galleri, fungere som en tastelogger for å registrere tastetrykk, trekke ut utklippstavleinformasjon og introdusere en ny filbehandling. Videre legger premiumversjonen vekt på forbedret utholdenhet og etablerer jevnere botforbindelser med den infiserte enheten.

For ytterligere å støtte distribusjonen og bruken av DogeRAT, har forfatteren satt opp et GitHub-depot. Dette depotet fungerer som en vertsplattform for RAT og gir ekstra ressurser, for eksempel en videoopplæring. Depotet presenterer også en omfattende liste over funksjoner og muligheter som tilbys av DogeRAT, og fremhever dets truende potensial ytterligere.

DogeRAT er et annet eksempel på at den underliggende økonomiske motivasjonen er hovedårsaken som driver svindlere til å utvikle taktikken sin kontinuerlig. Som et resultat har infeksjonsvektorene som misbrukes av nettkriminelle grupper utvidet seg utover å lage phishing-nettsteder, ettersom de nå også tyr til å distribuere modifiserte Remote Access Trojans (RAT) eller gjenbruke eksisterende truende applikasjoner. Ved å bruke disse rimelige og lett distribuerbare villedende kampanjene, kan svindlere oppnå betydelig avkastning på sine ulovlige aktiviteter.