Le cheval de Troie d'accès à distance AhRat cible les appareils Android et leurs données stockées

AhRat est un cheval de Troie d'accès à distance (RAT) malveillant qui cible principalement les appareils Android. Il a été distribué via une application d'enregistrement d'écran cheval de Troie déguisée en application légitime sur le Google Play Store. La version originale de l'application téléchargée sur le magasin n'avait aucune caractéristique malveillante, mais plus tard, les acteurs de la menace ont manipulé sa fonctionnalité et y ont introduit des composants malveillants.

AhRat est basé sur un autre RAT appelé AhMyth, indiquant une connexion entre les deux. Il existe au moins deux versions du code malveillant AhRat. L'application cheval de Troie utilisée pour distribuer AhRat s'appelle iRecorder - Screen Recorder.

AhRat infiltrant des appareils Android via des applications cheval de Troie

Bien que l'application malveillante iRecorder semble fournir de véritables capacités d'enregistrement d'écran, elle possède également des fonctionnalités malveillantes supplémentaires. Par exemple, il peut enregistrer l'audio du microphone de l'appareil, puis transmettre cet enregistrement à un serveur de commande et de contrôle (C&C) géré par un pirate. Cela permet à l'attaquant d'écouter les conversations ou de recueillir des informations audio sensibles.

De plus, l'application a la capacité d'extraire et de transférer différents types de fichiers à partir de l'appareil compromis. Il peut récupérer des pages Web enregistrées, des images, de l'audio, de la vidéo, des fichiers de documents, ainsi que des archives compressées contenant plusieurs fichiers. Cela suggère qu'AhRat est impliqué dans des activités d'espionnage, car il cible spécifiquement le vol de fichiers avec certaines extensions.

L'application cheval de Troie contenant le code AhRat a été supprimée du Google Play Store. Cependant, il est possible qu'il soit téléchargé sur des sites Web non officiels ou des magasins d'applications alternatifs.

Opérations et communication d'AhRat via les interactions du serveur de commande et de contrôle

Une fois AhRat installé sur un appareil, il établit la communication avec le serveur de commande et de contrôle (C&C). Il transmet les détails essentiels de l'appareil et récupère les clés de cryptage avec un fichier de configuration crypté. Ce fichier de configuration contient diverses commandes et détails de configuration qui régissent le comportement d'AhRat sur l'appareil ciblé.

AhRat envoie des requêtes régulières au serveur C&C toutes les 15 minutes pour obtenir un fichier de configuration mis à jour. Ce fichier comprend des instructions telles que le répertoire d'extraction des données utilisateur, les types de fichiers spécifiques à extraire, un seuil de taille de fichier, la durée d'enregistrement du microphone et l'intervalle entre les enregistrements.

Il convient de noter que le fichier de configuration décrypté contient un ensemble de commandes plus important que ce que AhRat est actuellement programmé pour exécuter. Cela suggère qu'AhRat pourrait être une version simplifiée par rapport à sa version initiale, qui ne contenait que du code malveillant non modifié provenant d'AhMyth RAT. Cependant, AhRat reste capable d'extraire des fichiers de l'appareil compromis et d'enregistrer de l'audio via le microphone de l'appareil.