Złośliwe oprogramowanie DogeRAT

Podczas dokładnego dochodzenia w sprawie wprowadzającej w błąd kampanii zbierania SMS-ów badacze ds. cyberbezpieczeństwa dokonali godnego uwagi odkrycia nowego złośliwego oprogramowania typu open source dla systemu Android o nazwie DogeRAT (trojan zdalnego dostępu). To groźne oprogramowanie zostało specjalnie zaprojektowane, aby atakować szeroką bazę klientów z różnych branż, ze szczególnym uwzględnieniem sektorów bankowego i rozrywkowego. Choć głównym celem tej kampanii byli użytkownicy w Indiach, jej zasięg obejmuje cały świat. Sprawcy tego szkodliwego oprogramowania wykorzystują platformy mediów społecznościowych i komunikatory jako kanały dystrybucji, udając złośliwe oprogramowanie jako legalną aplikację. Eksperci infosec ujawnili szczegóły dotyczące mobilnego zagrożenia DogeRAT i jego kampanii ataków.

Zagrożeni aktorzy mogą użyć DogeRAT do przejęcia kontroli nad urządzeniem i usunięcia poufnych informacji

Po zainstalowaniu na urządzeniu złośliwe oprogramowanie inicjuje serię żądań uprawnień, w tym dostęp do dzienników połączeń, nagrań dźwiękowych, wiadomości SMS, plików multimedialnych i zdjęć. Uprawnienia te są wykorzystywane przez złośliwe oprogramowanie do manipulowania urządzeniem, ułatwiając wykonywanie różnych szkodliwych działań bez wiedzy i zgody użytkownika. Takie działania obejmują przesyłanie wiadomości spamowych, nieautoryzowane transakcje płatnicze, nieautoryzowane modyfikacje plików oraz dyskretne robienie zdjęć aparatem urządzenia.

DogeRAT działa za pośrednictwem opartego na Javie kodu po stronie serwera, opracowanego w NodeJs, który umożliwia bezproblemową komunikację między złośliwym oprogramowaniem a Telegram Botem operacji ataku. Ponadto złośliwe oprogramowanie wykorzystuje widok sieci Web do wyświetlenia adresu URL atakowanej jednostki, skutecznie kamuflując jej groźne zamiary i sprawiając wrażenie bardziej autentycznej dla użytkowników.

DogeRAT jest oferowany na sprzedaż za pośrednictwem kanałów telegramu

Twórcy DogeRAT odegrali aktywną rolę w promowaniu swojego złośliwego oprogramowania za pośrednictwem dwóch kanałów Telegram. Oprócz wersji standardowej autor oferuje wersję premium mobilnego zagrożenia, która może pochwalić się zaawansowanymi funkcjonalnościami. Ta ulepszona wersja zawiera takie funkcje, jak przechwytywanie zrzutów ekranu, zbieranie obrazów z galerii urządzenia, działanie jako keylogger do rejestrowania naciśnięć klawiszy, wyodrębnianie informacji ze schowka i wprowadzanie nowego menedżera plików. Ponadto wersja premium kładzie nacisk na zwiększoną trwałość i ustanawia płynniejsze połączenia bota z zainfekowanym urządzeniem.

Aby dodatkowo wesprzeć dystrybucję i wykorzystanie DogeRAT, autor założył repozytorium GitHub. To repozytorium służy jako platforma hostingowa dla RAT i zapewnia dodatkowe zasoby, takie jak samouczek wideo. Repozytorium zawiera również obszerną listę funkcji i możliwości oferowanych przez DogeRAT, dodatkowo podkreślając jego groźny potencjał.

DogeRAT to kolejny przykład na to, że podstawowa motywacja finansowa jest głównym powodem, dla którego oszuści nieustannie rozwijają swoją taktykę. W rezultacie wektory infekcji wykorzystywane przez grupy cyberprzestępcze wykroczyły poza tworzenie stron phishingowych, ponieważ teraz uciekają się one również do dystrybucji zmodyfikowanych trojanów zdalnego dostępu (RAT) lub zmiany przeznaczenia istniejących groźnych aplikacji. Wykorzystując te tanie i łatwe do wdrożenia wprowadzające w błąd kampanie, oszuści mogą osiągnąć znaczne zyski ze swojej nielegalnej działalności.