AhRat Remote Access Trojan målretter mod Android-enhed og deres lagrede data

AhRat er en ondsindet Remote Access Trojan (RAT), der primært er rettet mod Android-enheder. Den blev distribueret gennem en trojaniseret skærmoptagelsesapplikation forklædt som en legitim app i Google Play Butik. Den originale version af appen, der blev uploadet til butikken, havde ingen ondsindede karakteristika, men senere manipulerede trusselsaktører dens funktionalitet og indførte ondsindede komponenter i den.

AhRat er baseret på en anden RAT kaldet AhMyth, hvilket indikerer en forbindelse mellem de to. Der findes mindst to versioner af AhRat ondsindet kode. Den trojanske app, der bruges til at distribuere AhRat, hedder iRecorder - Screen Recorder.

AhRat Infiltrerer Android-enheder via trojanske apps

Mens den ondsindede iRecorder-app ser ud til at give ægte skærmoptagelsesfunktioner, har den også yderligere ondsindede funktioner. For eksempel kan den optage lyd fra enhedens mikrofon og derefter overføre optagelsen til en kommando- og kontrolserver (C&C) drevet af en hacker. Dette giver angriberen mulighed for at aflytte samtaler eller indsamle følsomme lydoplysninger.

Desuden har appen mulighed for at udtrække og overføre forskellige typer filer fra den kompromitterede enhed. Det kan hente gemte websider, billeder, lyd, video, dokumentfiler samt komprimerede arkiver, der indeholder flere filer. Dette tyder på, at AhRat er involveret i spionageaktiviteter, da det specifikt er rettet mod tyveri af filer med visse udvidelser.

Den trojanske app, der indeholder AhRat-koden, er blevet fjernet fra Google Play Butik. Der er dog en mulighed for, at det kan blive uploadet til uofficielle websteder eller alternative app-butikker.

AhRats operationer og kommunikation via kommando- og kontrolserverinteraktioner

Når AhRat er installeret på en enhed, etablerer den kommunikation med kommando- og kontrolserveren (C&C). Den transmitterer vigtige enhedsdetaljer og henter krypteringsnøgler sammen med en krypteret konfigurationsfil. Denne konfigurationsfil indeholder forskellige kommandoer og konfigurationsdetaljer, der styrer AhRats adfærd på den målrettede enhed.

AhRat sender regelmæssige anmodninger til C&C-serveren hvert 15. minut for at få en opdateret konfigurationsfil. Denne fil indeholder instruktioner såsom biblioteket til udtrækning af brugerdata, specifikke filtyper, der skal udpakkes, en filstørrelsestærskel, mikrofonoptagelsesvarighed og intervallet mellem optagelser.

Det er værd at bemærke, at den dekrypterede konfigurationsfil indeholder et større sæt kommandoer end hvad AhRat i øjeblikket er programmeret til at udføre. Dette tyder på, at AhRat kan være en strømlinet version sammenlignet med dens oprindelige udgivelse, som kun indeholdt uændret ondsindet kode fra AhMyth RAT. AhRat forbliver dog i stand til at udtrække filer fra den kompromitterede enhed og optage lyd gennem enhedens mikrofon.