Что такое android rat

Новый Android RAT использует протокол Telegram

Вирусная лаборатория ESET обнаружила новый Android RAT (Remote Administration Tool), использующий протокол Telegram для управления и эксфильтрации данных. Изначально мы обратили внимание на повышение активности уже известных IRRAT и TeleRAT, но затем, разобравшись в происходящем, нашли совершенно новое семейство. Новый RAT активен минимум с августа 2017 года. В марте 2018 года исходный код малвари распространялся через Telegram-каналы хакеров, в результате чего сотни модификаций сегодня действуют in the wild.

Одна из версий отличается от остальных. Несмотря на доступность исходного кода, она продается под коммерческим названием HeroRat через специальный Telegram-канал. Авторы предлагают HeroRat в пользование по модели Malware-as-a-Service. Малварь доступна в трех комплектациях с разными функциями и видеоканалом поддержки. Неясно, был ли этот вариант написан на базе слитого кода или, наоборот, является оригиналом, исходный код которого затем появился в сети.

Как это работает

Злоумышленники распространяют RAT через неофициальные магазины Android-приложений, социальные сети и мессенджеры. Мы видели, как вредоносную программу маскируют под приложения, обещающие биткоины в подарок, бесплатный мобильный интернет или накрутку подписчиков в соцсетях. В Google Play данной малвари не обнаружено. Большинство заражений зафиксировано в Иране.

Рисунок 1. Несколько приложений, используемых для распространения RAT

Вредоносная программа совместима со всеми версиями Android. От пользователя требуется принять запрос разрешений (иногда включая активацию приложения в качестве администратора устройства), для чего используется социальная инженерия.

Рисунок 2. RAT запрашивает права администратора устройства

После установки и запуска вредоносного приложения на экране появляется небольшое всплывающее окно. В нем сообщается, что программа не может работать на устройстве и будет удалена. Мы видели образцы с сообщениями на английском и персидском языках (в зависимости от языковых настроек устройства).

Когда удаление завершено, иконка приложения исчезнет. Одновременно с этим на стороне атакующих будет зарегистрировано новое зараженное устройство.

Рисунок 3. Демонстрация установки HeroRat на устройство (скриншоты из обучающего видео авторов малвари)

Рисунок 4. Исходный код малвари с поддельным сообщением об удалении на английском и персидском

Получив доступ к скомпрометированному устройству, атакующий использует возможности бота Telegram для управления новым девайсом. Каждое зараженное устройство управляется с помощью бота, настраивается и контролируется через приложение Telegram.

Вредоносная программа обладает широким спектром инструментов шпионажа и эксфильтрации файлов, включая перехват текстовых сообщений и контактов, отправку текстовых сообщений и вызовы, запись звука и создание скриншотов, определение местоположения устройства и управление его настройками.

HeroRat продают в трех комплектациях (бронзовый, серебряный и золотой пакеты) за 25, 50 и 100 долларов соответственно. Исходный код от автора HeroRat предлагается купить за 650 долларов.

Доступ к функциям HeroRat осуществляется с помощью интерактивных кнопок в интерфейсе Telegram-бота. Атакующие могут управлять зараженными устройствами, нажимая кнопки, доступные в той версии RAT, которую они оплатили и используют.

Рисунок 5. Панель управления HeroRat

Рисунок 6. Функции HeroRat (слева направо): бронзовый, серебряный и золотой пакеты (скриншоты из обучающего видео авторов малвари)

В отличие от ранее изученных Android RAT, использующих Telegram, которые написаны на стандартном Android Java, новое семейство разработано с нуля на C# с использованием фреймворка Xamarin – редкое сочетание для Android-малвари.

Способ коммуникации через протокол Telegram адаптирован к языку программирования – вместо Telegram Bot API, который использовали ранее изученные RAT, новое семейство применяет Telesharp, библиотеку для создания ботов Telegram на C#.

Передача команд и эксфильтрация данных с зараженных устройств полностью покрываются протоколом Telegram – эта мера направлена на противодействие обнаружению на основе трафика на известные серверы загрузки.

Источник

Почувствуйте себя хакером с этими приложениями для Android

Android является, пожалуй, самой популярной операционной системой в мире. По всей видимости, именно это вдохновило различных разработчиков на создание ряда хакерских приложений для этой ОС. Скажем сразу, что мы против взломов и разного рода проникновения в частную жизнь пользователей. Однако знать о наличии такого рода программ определенно стоит. В крайнем случае вы сможете разыграть своих друзей. А лучше — приглашайте друзей в наш новостной канал в Телеграм.

Android-смартфон — это не просто удобный гаджет, но еще и инструмент для взлома

AndroRAT — Для начинающих хакеров

Название AndroRAT состоит из двух слов Android и RAT (Remote Administrative Tools). Приложение может дать вам контроль над системой Android удаленно и позволяет получить информацию об ОС. Это приложение для Android работает сразу после загрузки. Таким образом, пользователю не нужно взаимодействовать с сервисом. Приложение предоставляет вам возможность инициировать подключение с помощью звонка на телефон или СМС. AndroRAT может собрать данные о контактах, сообщениях и местоположении. А еще можно, например, удаленно делать снимки и записывать видео с камеры.

zANTI — Сканируем безопасность сетей

zANTI — это пакет программного обеспечения для сканирования сетей. Этот инструментарий позволяет имитировать среду взлома для обнаружения уязвимостей, открытых портов и так далее. По факту zANTI — это, можно сказать, антихакерский инструмент и лишь вам решать, что делать с обнаруженными «дырами» в системе безопасности после того, как вы их найдете.

FaceNiff — Перехват сетевого трафика

FaceNiff — это приложение для взлома на Android, которое позволяет вам перехватывать и перенаправлять сетевой трафик Wi-Fi. Зачем это нужно? Ну, например, таким образом очень часто воруют пароли от почтовых ящиков и социальных сетей. Причем зачастую программы наподобие FaceNiff работают в открытых сетях, так что будьте осторожны, когда подключаетесь к неизвестной точке доступа в, скажем, торговом центре.

Shark for Root — Поиск уязвимостей и не только

Shark for Root — это, можно сказать, продвинутый вариант FaceNiff. Он позволяет нe только перехватывать трафик Wi-Fi сетей, но и умеет работать с 3G. Опять же, Shark for Root — это изначально программа для поиска уязвимостей, а не для взлома устройств. Подобными функциями обладает и приложение Droidsheep.

DroidBox — Изучаем приложения изнутри

DroidBox — это приложение, которое предлагает динамический анализ приложений для Android. Используя DroidBox, можно получить данные, спрятанные внутри APK любого приложения. АРК — это формат файлов приложений для Android, в который упакованы все данные о программе. Так что если вам требуется «посмотреть, что внутри» программы, DroidBox — ваш выбор.

Wi-Fi Kill — Перекрыть доступ в интернет? Не проблема!

Wi-Fi Kill — это отличный инструмент для взлома устройств под управлением Андроид. С помощью этого приложения можно отключить устройства от интернета. Есть лишь одно условие: устройство, которое вы хотите отключить, должно находиться в той же сети, что и смартфон. Работает Wi-Fi Kill довольно просто: оно блокирует пакеты данных входящего трафика и чисто технически гаджет будет находиться в сети и посылать туда запросы. Только вот в ответ не будет получать ничего.

Новости, статьи и анонсы публикаций

Свободное общение и обсуждение материалов

Рынок смартфонов огромен: когда мы говорим об устройствах, то имеем в виду не только новые, но и те, что были в употреблении. Это одновременно и хорошо, и плохо: можно купить смартфон намного дешевле, сэкономив денег, которых много не бывает, но и купить неликвид. Под неликвидом важно понимать не только гаджеты в плохом состоянии, но и те, с которыми явно что-то не так. Не стоит думать, что это реально сразу разглядеть невооруженным глазом, ведь многие изъяны могут быть скрыты и дадут о себе знать в процессе эксплуатации. Возможно, в самый неудобный момент. Мы выбрали самые неочевидные виды смартфонов, которых, наверное, стоит избегать.

Вы видели, сколько стоят хорошие смартфоны на Android? А я вам скажу: дорого. Даже аппараты китайских производителей у нас продают за какие-то невменяемые деньги. Импортные пошлины, налоги, дистрибуторская наценка – за всё это платите вы, когда приходите за новым аппаратом в салон связи. Поэтому просто так взять и купить смартфон за наличные большинству просто не по силам. Им нужен проверенный способ, который позволит получить заветный товар здесь и сейчас без лишней волокиты и желательно с разбивкой платежа.

Считается, что на Android почти нет нормальных планшетов. Поэтому те, кому они действительно нужны, осознанно идут на компромисс, выбирая изделия китайских ноунеймов. Именно из-за отсутствия альтернатив на АлиЭкспресс стали так популярны дешёвые «таблетки» на базе ОС от Google. Единственным на моей памяти удачным решением в этой нише были планшеты Mi Pad от Xiaomi, но она несколько лет назад свернула проект, оставив после себя в наследство только старенький Mi Pad 5. Но в этом году «китайская Apple» решила вернуть себе позиции лидера на рынке планшетов.

Источник

Android троян удаленного доступа androrat дешевле и опаснее, чем когда-либо — Securitywatch — 2021

Видео: How to install Keyword Atlas on a Mac (Декабрь 2021).

Видео: How to install Keyword Atlas on a Mac (Декабрь 2021).

Еще в июле мы рассказывали вам об AndroRAT — троянец с удаленным доступом для устройств Android, который позволяет хакерам удаленно управлять всеми аспектами вашего телефона или планшета. В сочетании с другим программным обеспечением, которое называется связывателем, внедрение вредоносного кода AndroRAT в легитимное приложение и последующее распространение троянской версии было несложным делом. Теперь AndroRAT вернулся: больше, опаснее и дешевле, чем когда-либо.

Теперь все бесплатно
Изначально AndroRAT был концептуальным тестом с открытым исходным кодом, который стал настоящим трояном удаленного доступа. Это плохо, но могло быть и хуже. По крайней мере, это было трудно доставить на телефоны жертвы и, как известно, нестабильно. Старший аналитик Bitdefender по угрозам Богдан Ботезату объяснил, что именно внедрение связующего APK действительно вооружило AndroRAT. «После того, как вы использовали APK-связыватель, вы получили идеальную копию для киберпреступности», — сказал Ботезату.

После того, как вредоносный код был внедрен в приложение, полученные зараженные приложения стали меньше и стабильнее, чем исходный AndroRAT. Кроме того, троянские приложения, используемые для доставки AndroRAT — обычно это взломанные игры, — все еще работали отлично.

AndroRAT всегда был бесплатным и с открытым исходным кодом, но связка APK изначально стоила 35 долларов. Два месяца назад Symantec сообщила только о 23 установках AndroRAT. До тех пор, пока кто-то еще не взломал папку и не разместил ее бесплатно в Интернете. «Посмотри на иронию», — сказал Ботезату. «Этот инструмент также был взломан некоторыми другими парнями, которые разместили его бесплатно».

Инфекции AndroRAT резко возросли после того, как приложение связующего было выпущено бесплатно. С июля Bitdefender сообщает, что они видели 200 заражений на устройствах под управлением программного обеспечения безопасности мобильных устройств Bitdefender. Это лишь часть Android, использующая народные массы, признает Ботезату. Однако он сказал мне, что он видел людей, хвастающихся на форумах о ботнетах AndroRAT с 500 зараженными телефонами.

Читайте также:  Темная тема яндекс для андроид как включить

Легко, как воскресное утро
В дополнение к бесплатному, AndroRAT чрезвычайно прост в использовании. В ходе демонстрации Ботезату продемонстрировал мне простой интерфейс «укажи и щелкни» для создания троянских приложений и для управления зараженными устройствами. Всего несколькими щелчками мыши он показал мне все данные, к которым он мог получить удаленный доступ. Еще несколькими щелчками мыши он использовал зараженное устройство для отправки SMS-сообщений. Я спросил его, можно ли захватить видео и аудио, и, конечно же, для этого есть выпадающее меню.

«Теперь, когда эти инструменты являются общедоступными и бесплатными, мы увидим огромное количество инфекций AndroRAT», — сказал Ботезату. Он ожидает увидеть сценаристов или людей, не имеющих технического понимания инструментов, которые они используют, которые пока что способствуют распространению инфекций. Главным образом, он думает, чтобы шпионить за их друзьями, супругами и боссами.

Зарабатывать деньги
За большинством вредоносных программ скрывается возможность зарабатывания денег, но сейчас AndroRAT не получает огромного дохода. Обычно это конечная цель для вредоносного ПО Android; эксплуатировать жертв таким образом, чтобы плохие парни получали немного денег.

К счастью, мы еще не с AndroRAT. «Я считаю, что сейчас они просто экспериментируют с тем, насколько хорошо они могут распространять вредоносное ПО», — пояснил Ботезату. Мы видели подобные грохоты с вредоносными программами, такими как SpamSoldier, который имеет большой потенциал, но еще не взлетел. «они совершают мошеннические мошеннические действия, отправляя премиальные SMS-сообщения, которых достаточно, чтобы заработать деньги, чтобы заработать деньги, но при этом скрываются»

Хотя Botezatu считает, что AndroRAT в основном останется игрушкой, вполне возможно, что части программного обеспечения можно будет разбить на части и переупаковать в более целевые инструменты. Фактически, Bitdefender экспериментировал с этим, создавая небольшие, незаметные приложения, которые просто делали одно — например, отслеживали телефонные звонки. Ботезату сказал, что поскольку AndroRAT написан на Java, его можно «легко интегрировать практически во все», возможно, даже в сочетании с пресловутым эксплойтом Android Master Key.

Но это не будущее, которое он видит для AndroRAT: «Для парней, которые действительно знают, как кодировать кусок вредоносного ПО, они собираются пойти на собственное собственное приложение».

Оставаться в безопасности
Хотя AndroRAT страшен, избежать заражения довольно легко. Несмотря на то, что AndroRAT может быть привязан к любому приложению, жертвы все равно должны включить боковую загрузку на своем устройстве, загрузить троянское приложение и установить его.

И хотя доступ к нему означает, что почти каждый может создавать вредоносное ПО для Android, это также означает, что AndroRAT чрезвычайно хорошо поняты и задокументированы компаниями по обеспечению безопасности. Используя либо avast! Mobile Security & Antivirus, наш выбор редакции для бесплатного антивируса Android, или Bitdefender Mobile Security and Antivirus, наш выбор редакции для платного антивируса Android, должны обеспечивать вам безопасность.

Несмотря на это, люди все равно будут заражены. Ботезату записал, по крайней мере, часть этого, до загадочных предупреждений Android о разрешениях приложений. После многих лет разработки для Android он сказал, что даже он не понимает, что означают некоторые из этих предупреждений.

Но большинство заражений — это люди, которые хотят загружать взломанные версии платных приложений — обычно это игры, которые являются наиболее популярным методом распространения вредоносного программного обеспечения на Android. «AndroRAT работает только потому, что люди не используют такой же подход к безопасности на своем мобильном телефоне, как на своем компьютере», — сказал Ботезату.

Вредоносное ПО по-прежнему не столь распространено для мобильных устройств, как для настольных компьютеров, но AndroRAT является отрезвляющим напоминанием о том, что злоумышленники существуют.

Источник