Το AhRat Remote Access Trojan στοχεύει τη συσκευή Android και τα αποθηκευμένα δεδομένα τους
Το AhRat είναι ένας κακόβουλος Trojan απομακρυσμένης πρόσβασης (RAT) που στοχεύει κυρίως συσκευές Android. Διανεμήθηκε μέσω μιας τρωανοποιημένης εφαρμογής εγγραφής οθόνης μεταμφιεσμένη ως νόμιμη εφαρμογή στο Google Play store. Η αρχική έκδοση της εφαρμογής που ανέβηκε στο κατάστημα δεν είχε κανένα κακόβουλο χαρακτηριστικό, αλλά αργότερα, οι παράγοντες απειλών χειρίστηκαν τη λειτουργικότητά της και εισήγαγαν κακόβουλα στοιχεία σε αυτήν.
Το AhRat βασίζεται σε ένα άλλο RAT που ονομάζεται AhMyth, υποδεικνύοντας μια σύνδεση μεταξύ των δύο. Υπάρχουν τουλάχιστον δύο εκδόσεις του κακόβουλου κώδικα AhRat. Η trojanized εφαρμογή που χρησιμοποιείται για τη διανομή του AhRat ονομάζεται iRecorder - Screen Recorder.
Το AhRat διεισδύει σε συσκευές Android μέσω Trojanized Apps
Ενώ η κακόβουλη εφαρμογή iRecorder φαίνεται να παρέχει γνήσιες δυνατότητες εγγραφής οθόνης, διαθέτει επίσης πρόσθετες κακόβουλες λειτουργίες. Για παράδειγμα, μπορεί να εγγράψει ήχο από το μικρόφωνο της συσκευής και στη συνέχεια να μεταδώσει αυτήν την εγγραφή σε έναν διακομιστή εντολών και ελέγχου (C&C) που εκτελείται από έναν χάκερ. Αυτό επιτρέπει στον εισβολέα να κρυφακούει συνομιλίες ή να συλλέγει ευαίσθητες ηχητικές πληροφορίες.
Επιπλέον, η εφαρμογή έχει τη δυνατότητα εξαγωγής και μεταφοράς διαφόρων τύπων αρχείων από την παραβιασμένη συσκευή. Μπορεί να ανακτήσει αποθηκευμένες ιστοσελίδες, εικόνες, αρχεία ήχου, βίντεο, εγγράφων, καθώς και συμπιεσμένα αρχεία που περιέχουν πολλά αρχεία. Αυτό υποδηλώνει ότι η AhRat εμπλέκεται σε δραστηριότητες κατασκοπείας, καθώς στοχεύει συγκεκριμένα την κλοπή αρχείων με ορισμένες επεκτάσεις.
Η trojanized εφαρμογή που περιέχει τον κώδικα AhRat έχει αφαιρεθεί από το Google Play Store. Ωστόσο, υπάρχει πιθανότητα να μεταφορτωθεί σε ανεπίσημους ιστότοπους ή εναλλακτικά καταστήματα εφαρμογών.
Λειτουργίες και επικοινωνία του AhRat μέσω αλληλεπιδράσεων διακομιστή εντολών και ελέγχου
Μόλις εγκατασταθεί το AhRat σε μια συσκευή, δημιουργεί επικοινωνία με τον διακομιστή εντολών και ελέγχου (C&C). Μεταδίδει βασικές λεπτομέρειες της συσκευής και ανακτά κλειδιά κρυπτογράφησης μαζί με ένα κρυπτογραφημένο αρχείο διαμόρφωσης. Αυτό το αρχείο διαμόρφωσης περιέχει διάφορες εντολές και λεπτομέρειες διαμόρφωσης που διέπουν τη συμπεριφορά του AhRat στη στοχευμένη συσκευή.
Το AhRat στέλνει τακτικά αιτήματα στον διακομιστή C&C κάθε 15 λεπτά για να αποκτήσει ένα ενημερωμένο αρχείο διαμόρφωσης. Αυτό το αρχείο περιλαμβάνει οδηγίες όπως ο κατάλογος για την εξαγωγή δεδομένων χρήστη, συγκεκριμένους τύπους αρχείων προς εξαγωγή, ένα όριο μεγέθους αρχείου, τη διάρκεια εγγραφής στο μικρόφωνο και το διάστημα μεταξύ των εγγραφών.
Αξίζει να σημειωθεί ότι το αποκρυπτογραφημένο αρχείο ρυθμίσεων περιέχει ένα μεγαλύτερο σύνολο εντολών από αυτό που είναι προγραμματισμένο να εκτελεί επί του παρόντος το AhRat. Αυτό υποδηλώνει ότι το AhRat μπορεί να είναι μια βελτιωμένη έκδοση σε σύγκριση με την αρχική του έκδοση, η οποία περιείχε μόνο αμετάβλητο κακόβουλο κώδικα από το AhMyth RAT. Ωστόσο, το AhRat παραμένει ικανό να εξάγει αρχεία από την παραβιασμένη συσκευή και να εγγράφει ήχο μέσω του μικροφώνου της συσκευής.
