DogeRAT-malware

Tijdens een grondig onderzoek naar een misleidende campagne voor het verzamelen van sms-berichten, hebben cyberbeveiligingsonderzoekers een opmerkelijke ontdekking gedaan van een nieuwe open-source Android-malware genaamd DogeRAT (Remote Access Trojan). Deze bedreigende software is speciaal ontworpen om zich te richten op een breed klantenbestand in verschillende sectoren, met een bijzondere focus op de bank- en entertainmentsector. Hoewel de primaire doelgroep van deze campagne gebruikers in India waren, strekt de reikwijdte zich uit over de hele wereld. De daders van deze malware gebruiken socialemediaplatforms en berichtentoepassingen als distributiekanalen, waardoor de malware wordt vermomd als een legitieme toepassing. Details over de DogeRAT mobiele dreiging en de aanvalscampagne werden onthuld door de infosec-experts.

Bedreigingsactoren kunnen DogeRAT gebruiken om het apparaat over te nemen en gevoelige informatie weg te nemen

Nadat de malware op een apparaat is geïnstalleerd, initieert hij een reeks machtigingsverzoeken, waaronder toegang tot oproeplogboeken, audio-opnamen, sms-berichten, mediabestanden en foto's. Deze machtigingen worden door de malware misbruikt om het apparaat te manipuleren, waardoor de uitvoering van verschillende schadelijke activiteiten wordt vergemakkelijkt zonder medeweten of toestemming van de gebruiker. Dergelijke activiteiten omvatten de verzending van spamberichten, ongeautoriseerde betalingstransacties, ongeautoriseerde wijziging van bestanden en het discreet vastleggen van foto's met de camera van het apparaat.

DogeRAT werkt via een op Java gebaseerde server-side code die is ontwikkeld in NodeJs, waardoor naadloze communicatie mogelijk is tussen de malware en de Telegram Bot van de aanvalsoperatie. Bovendien maakt de malware gebruik van een webweergave om de URL van de getargete entiteit weer te geven, waardoor de bedreigende bedoelingen effectief worden gecamoufleerd en de gebruikers authentieker overkomen.

DogeRAT wordt te koop aangeboden via Telegram-kanalen

De makers van DogeRAT hebben een actieve rol gespeeld bij het promoten van hun malware via twee Telegram-kanalen. Naast de standaardversie biedt de auteur een premiumversie van een mobiele dreiging met geavanceerde functionaliteiten. Deze verbeterde versie bevat functies zoals het maken van schermafbeeldingen, het verzamelen van afbeeldingen uit de galerij van het apparaat, het functioneren als een keylogger om toetsaanslagen op te nemen, het extraheren van klembordinformatie en het introduceren van een nieuwe bestandsbeheerder. Bovendien benadrukt de premium-versie verbeterde persistentie en brengt het soepelere botverbindingen tot stand met het geïnfecteerde apparaat.

Om de distributie en het gebruik van DogeRAT verder te ondersteunen, heeft de auteur een GitHub-repository opgezet. Deze repository dient als hostingplatform voor de RAT en biedt aanvullende bronnen, zoals een video-tutorial. De repository presenteert ook een uitgebreide lijst met functies en mogelijkheden die door DogeRAT worden aangeboden, wat het bedreigende potentieel verder benadrukt.

DogeRAT is een ander voorbeeld dat de onderliggende financiële motivatie de belangrijkste reden is die fraudeurs ertoe aanzet om hun tactiek voortdurend te ontwikkelen. Als gevolg hiervan zijn de infectievectoren die door cybercriminele groepen worden misbruikt, verder gegaan dan het maken van phishing-websites, aangezien ze nu ook hun toevlucht nemen tot het verspreiden van gemodificeerde Remote Access Trojans (RAT's) of het hergebruiken van bestaande bedreigende applicaties. Door gebruik te maken van deze goedkope en gemakkelijk inzetbare misleidende campagnes kunnen oplichters een aanzienlijk rendement behalen op hun illegale activiteiten.