OmniRAT

OmniRAT is een hulpprogramma voor extern beheer dat veel lijkt op DroidJack, maar uitgerust met sterk uitgebreide mogelijkheden. Hoewel DroidJack in staat was om uitsluitend Android-apparaten te besturen, werkt OmniRAT op Windows-, Linux- en Mac-apparaten. Een ander verschil was dat terwijl je voor DroidJack $210 moest betalen, OmniRAT beschikbaar was tegen aanzienlijk lagere kosten van $ 25 of 50, afhankelijk van het niveau dat de klant heeft gekozen.

Door hun aard zijn Remote Administration Tools niet bedreigend; ze bieden gebruikers eenvoudig de middelen om op afstand toegang te krijgen tot en taken uit te voeren op hun apparaten. Het probleem is dat dergelijke programma's gemakkelijk door hackers kunnen worden toegeëigend en opnieuw kunnen worden gebruikt om te dienen als een fundamenteel onderdeel van hun criminele activiteiten. Inderdaad, zelfs de ongewijzigde versie van OmniRAT zou opdrachten kunnen uitvoeren, audio kunnen opnemen, actieve processen of services op het apparaat kunnen opsommen, contactlijsten kunnen openen, telefoongesprekken kunnen voeren en berichten kunnen verzenden, en de browsegeschiedenis kunnen openen en verwijderen, enz. Niet verrassend, kort daarna het programma werd gelanceerd, werd een sms-aanvalscampagne gedetecteerd die een aangepaste versie van OmniRAT leverde.

De payload werd verspreid via sms-berichten waarin werd beweerd dat de beoogde gebruiker een mms had ontvangen, maar deze kon niet rechtstreeks worden afgeleverd vanwege de Android-kwetsbaarheid StageFright. Een link naar een website waar de gebruikers hun telefoonnummers en een codenummer in de sms moesten invoeren, leidde tot het downloaden en installeren van een APK-bestand met OmniRAT. De applicatie vraagt vervolgens om verschillende opdringerige toestemmingen, wat niet veel verschilt van het gedrag van legitieme applicaties, en als het lukt, krijgen de hackers volledige controle over het gecompromitteerde apparaat. OmniRAT kan vervolgens verder worden verspreid door sms-berichten van het apparaat naar de contactlijsten van de gebruiker te sturen.

Hoewel de auteurs van OmniRAT op de officiële website van het programma hadden verklaard dat ze geen enkel ongeoorloofd gebruik van de applicatie ondersteunen en de discretie uitsluitend bij de klanten berust, hielp het niet toen in 2019 de Duitse politie hun huis binnenviel en hun laptops en computers in beslag nam. en mobiele apparaten. De inval was hoogstwaarschijnlijk onderdeel van het onderzoek naar een cyberaanval die enkele maanden eerder plaatsvond. Dit is vergelijkbaar met de operatie tegen DroidJack in 2015.

De hackers lanceerden een campagne tegen bedrijven die in meerdere branches werkzaam zijn. De eerste exploit die werd gebruikt om de beoogde computers in gevaar te brengen, was een beveiligingslek met betrekking tot het uitvoeren van externe code met de CVE-2016-7262-aanduiding in Microsoft Excel. Het vergiftigde Excel-spreadsheet is zo ontworpen dat het lijkt alsof het is verzonden door 'Kuwait Petroleum Corporation (KPC)'. Het geleverde laadvermogen was OmniRAT.