Rogue RAT
De cybercriminelenmarkt op het Dark Web blijft evolueren, en hetzelfde kan worden waargenomen met de malwaretools die worden aangeboden. Zelfs boeven met extreem beperkte technische kennis kunnen nu een geavanceerde malwarebedreiging kopen voor extreem lage prijzen in plaats van dat ze een groot bedrag moeten investeren, zoals voorheen het meest voorkomende geval was. Infosec-onderzoekers hebben inderdaad ontdekt dat een krachtige RAT (Remote Access Trojan) genaamd Rogue op ondergrondse hackerforums wordt verkocht voor minder dan $ 30.
Analyse van de onderliggende code van Rogue RAT onthulde dat de dreiging niet zozeer een unieke creatie is, maar een combinatie van twee reeds bestaande Android RAT-families. Door te lenen van zowel de Cosmo- als de Hawkshaw-families, hebben de mensen die verantwoordelijk zijn voor Rogue RAT een bedreiging gecreëerd met een breed scala aan schadelijke functionaliteiten. Wanneer de RAT volledig is geïmplementeerd op het Android-apparaat van een gebruiker, start het een keylogging-proces waarmee het inloggegevens van de website, gebruikersnamen en wachtwoorden van applicaties en, nog belangrijker, bankgegevens kan verzamelen. Rogue biedt zijn operators een volledige spionagekit met functies - ze kunnen de gps-locatie van het gecompromitteerde apparaat volgen, willekeurige screenshots en foto's maken via de camera van het apparaat, audio opnemen en nog veel meer.
Om zijn bedreigende operaties echter te kunnen uitvoeren, vraagt Rogue RAT de gebruiker eerst om hem de vereiste rechten te verlenen. Indien geweigerd, zal de RAT de gebruiker blijven lastigvallen met pop-upvensters die om toestemming vragen totdat het verzoek uiteindelijk is geaccepteerd. Rogue zal zichzelf onmiddellijk registreren als de apparaatbeheerder en het pictogram van het apparaatscherm verwijderen. Om de mogelijkheden ervan te behouden, past de malwarebedreiging een algemene tactiek toe: de gebruiker proberen bang te maken om hem met rust te laten. alle gegevens? ' zal ontstaan. Rogue RAT maakt gebruik van Google's Firebase-service voor applicaties om de kans te vergroten dat ze verborgen blijven en detectie door anti-malware-oplossingen te voorkomen, waardoor het zich voordoet als een legitieme applicatie.
De aanvankelijke aanvalsvector die wordt gebruikt bij de distributie van Rogue RAT, is afhankelijk van de specifieke cybercriminele client. Ze kunnen ervoor kiezen om een phishing-campagne op te zetten die e-mails met gecompromitteerde bijlagen bezorgt, de RAT in nepapplicaties injecteren, proberen gebruikers te misleiden om ze te downloaden of een andere methode die ze hebben gekozen.
