Новый Android RAT использует протокол Telegram
Вирусная лаборатория ESET обнаружила новый Android RAT (Remote Administration Tool), использующий протокол Telegram для управления и эксфильтрации данных. Изначально мы обратили внимание на повышение активности уже известных IRRAT и TeleRAT, но затем, разобравшись в происходящем, нашли совершенно новое семейство. Новый RAT активен минимум с августа 2017 года. В марте 2018 года исходный код малвари распространялся через Telegram-каналы хакеров, в результате чего сотни модификаций сегодня действуют in the wild.
Одна из версий отличается от остальных. Несмотря на доступность исходного кода, она продается под коммерческим названием HeroRat через специальный Telegram-канал. Авторы предлагают HeroRat в пользование по модели Malware-as-a-Service. Малварь доступна в трех комплектациях с разными функциями и видеоканалом поддержки. Неясно, был ли этот вариант написан на базе слитого кода или, наоборот, является оригиналом, исходный код которого затем появился в сети.
Как это работает
Злоумышленники распространяют RAT через неофициальные магазины Android-приложений, социальные сети и мессенджеры. Мы видели, как вредоносную программу маскируют под приложения, обещающие биткоины в подарок, бесплатный мобильный интернет или накрутку подписчиков в соцсетях. В Google Play данной малвари не обнаружено. Большинство заражений зафиксировано в Иране.
Рисунок 1. Несколько приложений, используемых для распространения RAT
Вредоносная программа совместима со всеми версиями Android. От пользователя требуется принять запрос разрешений (иногда включая активацию приложения в качестве администратора устройства), для чего используется социальная инженерия.
Рисунок 2. RAT запрашивает права администратора устройства
После установки и запуска вредоносного приложения на экране появляется небольшое всплывающее окно. В нем сообщается, что программа не может работать на устройстве и будет удалена. Мы видели образцы с сообщениями на английском и персидском языках (в зависимости от языковых настроек устройства).
Когда удаление завершено, иконка приложения исчезнет. Одновременно с этим на стороне атакующих будет зарегистрировано новое зараженное устройство.
Рисунок 3. Демонстрация установки HeroRat на устройство (скриншоты из обучающего видео авторов малвари)
Рисунок 4. Исходный код малвари с поддельным сообщением об удалении на английском и персидском
Получив доступ к скомпрометированному устройству, атакующий использует возможности бота Telegram для управления новым девайсом. Каждое зараженное устройство управляется с помощью бота, настраивается и контролируется через приложение Telegram.
Вредоносная программа обладает широким спектром инструментов шпионажа и эксфильтрации файлов, включая перехват текстовых сообщений и контактов, отправку текстовых сообщений и вызовы, запись звука и создание скриншотов, определение местоположения устройства и управление его настройками.
HeroRat продают в трех комплектациях (бронзовый, серебряный и золотой пакеты) за 25, 50 и 100 долларов соответственно. Исходный код от автора HeroRat предлагается купить за 650 долларов.
Доступ к функциям HeroRat осуществляется с помощью интерактивных кнопок в интерфейсе Telegram-бота. Атакующие могут управлять зараженными устройствами, нажимая кнопки, доступные в той версии RAT, которую они оплатили и используют.
Рисунок 5. Панель управления HeroRat
Рисунок 6. Функции HeroRat (слева направо): бронзовый, серебряный и золотой пакеты (скриншоты из обучающего видео авторов малвари)
В отличие от ранее изученных Android RAT, использующих Telegram, которые написаны на стандартном Android Java, новое семейство разработано с нуля на C# с использованием фреймворка Xamarin – редкое сочетание для Android-малвари.
Способ коммуникации через протокол Telegram адаптирован к языку программирования – вместо Telegram Bot API, который использовали ранее изученные RAT, новое семейство применяет Telesharp, библиотеку для создания ботов Telegram на C#.
Передача команд и эксфильтрация данных с зараженных устройств полностью покрываются протоколом Telegram – эта мера направлена на противодействие обнаружению на основе трафика на известные серверы загрузки.
Источник
Remote administration tool android
AhMyth is a powerful open-source remote administration tool that can be used to access informational data from an android device. Through it, an attacker can access critical information such as the current geographical location of the device being attacked. In advanced use cases it can be used to hack the victim’s microphone and launch recordings, get camera snapshots and also read personal messages on the attacked device.
This tool is designed with a GUI interface which makes AhMyth one of the easiest RATs to use. With this tool, you can easily log in and gain direct control to an android device.
As a remote administration tool, AhMyth has two parts which enable it to effectively perform its functions.
The server-side which acts like a desktop application that is built on an electron framework, which is used by the attacker as the control panel through which connections are made to the AhMyth software that is installed on the victim’s Android device.
The client-side of AhMyth works as the android application and can be used as a backdoor.
Installation Instructions can be found in the INSTRUCTIONS.md
Join the development and upgrading of AhMyth at AhMyth RAT Development
- File Manager – allows the attacker to view contents in the target device including the firmware.
- Remote access to Mic and Camera.
- Access to Call Logs.
- SMS access – allows the attacker to read and send messages from the target device.
- Device GPS Location – enables the attacker to know the geographical location of the victim.
- Backdooring original applications, also referred to as «Binding»
- Supports Linux & OS X
- Custom Permission selection — Allows user to select permissions using the checkboxes on the Interface, using none of them or all of them will build a payload with default permissions
Client (Ahmyth.apk) Features
- APK hides itself automatically upon installation
- APK automatically grants all permissions during installation
About
Android Remote Administration Tool Powered by Electron Framework & NodeJS | Java 11 openjdk supported!
Источник
Remote administration tool android
AndroRAT is a tool designed to give the control of the android system remotely and retrieve informations from it. Androrat is a client/server application developed in Java Android for the client side and the Server is in Python.
AndroRAT will work on device from Android 4.1 (Jelly Bean) to Android 9.0 (Oreo) (API 16 to API 28)
AndroRAT also works on Android 10 (Q) but some of the interpreter command will be unstable.
Features of AndroRAT
- Full persistent backdoor
- Fully undetectable by any antivirus scanner VirusTotal
- Invisible icon on install
- Light weight apk which runs 24*7 in background
- App starts automatically on boot up
- Can record audio, video, take picture from both camera
- Browse call logs and SMS logs
- Get current location, sim card details ,ip, mac address of the device
AndroRAT requires Python (3.6-3.8) and JAVA 8 (or Android Studio)
While cloning the repository using Git bash on windows, you may get the following error:
error: unable to create file : Filename too long
This is because the Git has a limit of 4096 characters for a filename, except on Windows when Git is compiled with msys. It uses an older version of the Windows API and there’s a limit of 260 characters for a filename.
You can circumvent this by setting core.longpaths to true .
git config —system core.longpaths true
You must run Git bash with administrator privileges.
Usage (Windows and Linux)
- To get the control panel of the app dial *#*#1337#*#* (For now it has only two options Restart Activity and Uninstall )
Note: In order to use this feature in some devices you need to enable the option display pop-up windows running in background from the settings.
- —build — for building the android apk
- —ngrok — for using ngrok tunnel (over the internet)
- —shell — getting an interactive shell of the device
Or you can manually build the apk by importing Android Code folder to Android Studio and changing the IP address and port number in config.java file and then you can generate the signed apk from Android Studio -> Build -> Generate Signed APK(s)
After running the shell mode you will get an interpreter of the device
Commands which can run on the interpreter
In the sh shell there are some sub commands
Источник
Remote administration tool android
Remote Administration Tool for Android
Androrat is a client/server application developed in Java Android for the client side and in Java/Swing for the Server.
The name Androrat is a mix of Android and RAT (Remote Access Tool).
It has been developed in a team of 4 for a university project. It has been realised in one month. The goal of the application is to give the control of the android system remotely and retrieve informations from it.
- The android application is the client for the server which receive all the connections.
- The android application run as a service(not an activity) that is started during the boot. So the user does not need to interact with the service (Even though there is a debug activity that allow to configure the IP and the port to connect to).
- The connection to the server can be triggered by a SMS or a call (this can be configured)
All the available functionalities are
- Get contacts (and all theirs informations)
- Get call logs
- Get all messages
- Location by GPS/Network
- Monitoring received messages in live
- Monitoring phone state in live (call received, call sent, call missed..)
- Take a picture from the camera
- Stream sound from microphone (or other sources..)
- Streaming video (for activity based client only)
- Do a toast
- Send a text message
- Give call
- Open an URL in the default browser
- Do vibrate the phone
The project contains the following folders:
- doc: Will soonly contain all the documentation about the project
- Experiment: Contain an experimental version of the client articulated around an activity wish allow by the way to stream video
- src/Androrat: Contain the source code of the client that should be put on the android plateform
- src/AndroratServer: Contain the sources of the Java/Swing server that can be run on any plateform
- src/api: Contain all the different api used in the project (JMapViewer for the map, forms for swing, and vlcj for video streaming)
- src/InOut: Contain the code of the content common for the client and the server which is basically the protocol implementation
This is the main GUI where all the clients connected appears. The list is dynamically updated when a new client connects or is disconnected. Moreover a log of all connections and global informations are showed in the log panel at the bottom of the window. A simple double-click on a client open his window to interact with him.
All the actions with client can be made in the client window which is articulated around tabs. The default tab is called Home and provide various functionalities. First as we can see in the left scrollview all the informations about the client like sim infos, battery infos, network infos, sensors infos etc. On the right there is the options which allow remotely to change the configuration of the client like the ip and port to connect to, either or not wait a trigger to intent server connection etc. Finally quick actions can be perfomed in this tab like a toast message, do vibrate the phone or open an URL.
The two screenshots below shows two others tabs for two functionalities which are respectively get contacts and geolocation. As you can see on the get contacts panel the list on the left show all contacts the name, the phone number and the picture if available. Morevover on the right three buttons allow to get more information about the selected contact send him a sms or call him. For Geolocation we can choose our provider either GPS either network that use google to locate. Then the streaming can be started and the map will be updated as soon as data has been received.
Download and Clone
The404Hacking | Digital UnderGround Team
Источник
