OmniRAT

O OmniRAT é uma Ferramenta de Administração Remota muito parecida com o DroidJack, mas equipada com recursos bastante expandidos. Enquanto o DroidJack era capaz de assumir o controle apenas de dispositivos Android, OmniRAT funciona em dispositivos Windows, Linux e Mac. Outra diferença era que, embora o DroidJack exigisse que você desembolsasse até $210, o OmniRAT estava disponível a um custo significativamente mais baixo de $25 ou 50, dependendo da camada que o cliente escolheu.

Por sua natureza, as Ferramentas de Administração Remota não são ameaçadoras; elas simplesmente fornecem aos usuários os meios de acessar e realizar tarefas em seus dispositivos remotamente. O problema é que esses programas podem ser facilmente apropriados por hackers e reaproveitados para servir como parte fundamental de suas atividades criminosas. Na verdade, mesmo a versão não modificada do OmniRAT pode executar comandos, gravar áudio, enumerar processos ou serviços em execução no dispositivo, acessar listas de contatos, fazer chamadas e enviar mensagens e acessar e excluir o histórico de navegação, etc. Não surpreendentemente, logo depois o programa foi lançado, uma campanha de ataque por SMS entregando uma versão personalizada do OmniRAT foi detectada.

A carga útil foi distribuída por meio de mensagens SMS alegando que o usuário-alvo havia recebido um MMS, mas não poderia ser entregue diretamente devido à vulnerabilidade do Android StageFright. Um link para um site onde os usuários tinham que inserir seus números de telefone e um número de código fornecido no SMS levava ao download e instalação de um arquivo APK contendo o OmniRAT. O aplicativo então exige o recebimento de várias permissões intrusivas, o que não é muito diferente do comportamento de aplicativos legítimos e, se for bem-sucedido, os hackers terão controle total sobre o dispositivo comprometido. O OmniRAT pode então ser disseminado ainda mais enviando mensagens SMS do dispositivo para as listas de contato do usuário.

Embora os autores do OmniRAT tenham declarado no site oficial do programa que não apóiam o uso ilícito do aplicativo e a discrição recai exclusivamente sobre os clientes, isso não ajudou quando em 2019 a polícia alemã invadiu sua casa e apreendeu seus laptops, computadores e dispositivos móveis. A invasão provavelmente fez parte da investigação de um ataque cibernético ocorrido alguns meses antes. Isso é semelhante à operação de 2015 contra DroidJack.

Os hackers lançaram uma campanha contra empresas que trabalham em vários setores. A exploração inicial usada para comprometer os computadores visados foi uma vulnerabilidade de execução remota de código com designação CVE-2016-7262 no Microsoft Excel. A planilha do Excel envenenada foi projetada para parecer ter sido enviada pela 'Kuwait Petroleum Corporation (KPC).' A carga útil entregue foi o OmniRAT.