MRAT

MRAT is een malwarebedreiging die voor het eerst de aandacht trok van de infosec-gemeenschap in 2014. Destijds werd MRAT ingezet bij een aanval op demonstranten in Hong Kong. Het doel van deze bedreigende tool is om verkennings- en gegevensverzamelingsactiviteiten uit te voeren op de gecompromitteerde apparaten. Het beschikt over een indrukwekkende toolkit met spywarefuncties. MRAT kan applicaties en bestanden op het geïnfecteerde apparaat verwijderen, extra applicaties downloaden, browsegegevens verzamelen, toegang krijgen tot sms-berichten, contacten, oproeplogboeken, inloggegevens voor e-mailaccounts verzamelen, externe opslagruimtes doorzoeken op bestanden met een specifieke MD5-hash, willekeurige opdrachten uitvoeren, audio opnemen en exfiltreren alle verzamelde informatie naar de Command-and-Control-server. MRAT is ook uitgerust met anti-detectietechnieken en voert controles uit op specifieke anti-malware-oplossingen.

De dreiging werd gebruikt als een payload in een laat stadium bij een recente aanval op Android-gebruikers. De cybercriminelen slaagden erin om meerdere bewapende applicaties naar de officiële Google Play Store te sluipen dankzij een voorheen onbekende malware-dropper genaamd Clast82 . Elk van de applicaties is gebouwd door een legitieme open-source Android-applicatie te nemen en deze te injecteren met de Clast82-code. De negen geïdentificeerde toepassingen met de malware zijn:

• BeatPlayer,
• Cake VPN,
• eVPN (twee verschillende versies),
• Muziekspeler,
• Pacific VPN,
• QR / streepjescodescanner MAX,
• QRecorder,
• Tooltipnattorbibliotheek.

Nadat Google op de hoogte was gebracht van de inbreuk, werden alle bedreigende applicaties uit de Play Store verwijderd. Gebruikers die een van deze eerder hebben gedownload en geïnstalleerd, lopen nog steeds risico. Gebruik een professionele anti-malware-oplossing om uw Android-apparaat te scannen en het te verwijderen van mogelijke malwarebedreigingen.