Az AhRat Remote Access trójai az Android-eszközöket és azok tárolt adatait célozza meg

Az AhRat egy rosszindulatú Remote Access Trojan (RAT), amely elsősorban Android-eszközöket céloz meg. A Google Play Áruházban egy legitim alkalmazásnak álcázott trójai képernyőrögzítő alkalmazáson keresztül terjesztették. Az áruházba feltöltött alkalmazás eredeti verziója nem tartalmazott rosszindulatú tulajdonságokat, de később a fenyegetés szereplői manipulálták a funkcionalitását, és rosszindulatú összetevőket juttattak bele.

Az AhRat egy másik AhMyth nevű RAT-on alapul, ami a kettő közötti kapcsolatot jelzi. Az AhRat rosszindulatú kódnak legalább két verziója létezik. Az AhRat terjesztésére használt trójai alkalmazás neve iRecorder – Screen Recorder.

Az Android-eszközökbe beszivárgó AhRat trójai alkalmazásokon keresztül

Bár úgy tűnik, hogy a rosszindulatú iRecorder alkalmazás valódi képernyőrögzítési képességeket biztosít, további rosszindulatú funkciókkal is rendelkezik. Például hangot rögzíthet az eszköz mikrofonjából, majd továbbítja a felvételt egy hacker által működtetett parancs- és vezérlőszerverre. Ez lehetővé teszi a támadó számára, hogy lehallgatja a beszélgetéseket, vagy bizalmas hanginformációkat gyűjtsön.

Ezenkívül az alkalmazás képes különféle típusú fájlokat kivonatolni és átvinni a feltört eszközről. Lekérheti a mentett weboldalakat, képeket, hang-, videó-, dokumentumfájlokat, valamint több fájlt tartalmazó tömörített archívumot is. Ez arra utal, hogy az AhRat kémtevékenységben vesz részt, mivel kifejezetten bizonyos kiterjesztésű fájlok ellopását célozza.

Az AhRat kódot tartalmazó trójai alkalmazást eltávolították a Google Play Áruházból. Előfordulhat azonban, hogy nem hivatalos webhelyekre vagy alternatív alkalmazásboltokra töltik fel.

Az AhRat műveletei és kommunikációja a Command and Control Server interakciókon keresztül

Miután az AhRat telepítve van egy eszközre, kommunikációt létesít a vezérlő és vezérlő (C&C) szerverrel. Továbbítja az eszköz alapvető adatait, és lekéri a titkosítási kulcsokat, valamint egy titkosított konfigurációs fájlt. Ez a konfigurációs fájl különféle parancsokat és konfigurációs részleteket tartalmaz, amelyek szabályozzák az AhRat viselkedését a megcélzott eszközön.

Az AhRat 15 percenként rendszeres kéréseket küld a C&C szervernek, hogy megkapja a frissített konfigurációs fájlt. Ez a fájl olyan utasításokat tartalmaz, mint a felhasználói adatok kinyerésére szolgáló könyvtár, a kibontandó adott fájltípusok, a fájlméret küszöbértéke, a mikrofonos rögzítés időtartama és a felvételek közötti intervallum.

Érdemes megjegyezni, hogy a visszafejtett konfigurációs fájl nagyobb parancskészletet tartalmaz, mint amit az AhRat jelenleg végrehajtani programozott. Ez azt sugallja, hogy az AhRat egy egyszerűsített verzió az eredeti kiadáshoz képest, amely csak az AhMyth RAT változatlan rosszindulatú kódját tartalmazta. Az AhRat azonban továbbra is képes fájlokat kinyerni a feltört eszközről, és hangot rögzíteni az eszköz mikrofonján keresztül.