Il trojan di accesso remoto AhRat prende di mira il dispositivo Android e i relativi dati memorizzati

AhRat è un Trojan ad accesso remoto (RAT) dannoso che prende di mira principalmente i dispositivi Android. È stato distribuito tramite un'applicazione di registrazione dello schermo trojan camuffata da app legittima sul Google Play Store. La versione originale dell'app caricata nello store non presentava caratteristiche dannose, ma in seguito gli attori delle minacce ne hanno manipolato la funzionalità e vi hanno introdotto componenti dannosi.

AhRat è basato su un altro RAT chiamato AhMyth, che indica una connessione tra i due. Esistono almeno due versioni del codice dannoso AhRat. L'app trojanizzata utilizzata per distribuire AhRat si chiama iRecorder - Screen Recorder.

AhRat si infiltra nei dispositivi Android tramite app trojan

Sebbene l'app dannosa iRecorder sembri fornire funzionalità di registrazione dello schermo autentiche, possiede anche funzionalità dannose aggiuntive. Ad esempio, può registrare l'audio dal microfono del dispositivo e quindi trasmettere tale registrazione a un server di comando e controllo (C&C) gestito da un hacker. Ciò consente all'attaccante di intercettare conversazioni o raccogliere informazioni audio sensibili.

Inoltre, l'app ha la capacità di estrarre e trasferire vari tipi di file dal dispositivo compromesso. Può recuperare pagine Web salvate, immagini, audio, video, file di documenti, nonché archivi compressi contenenti più file. Ciò suggerisce che AhRat è coinvolto in attività di spionaggio, poiché mira specificamente al furto di file con determinate estensioni.

L'app trojanizzata contenente il codice AhRat è stata rimossa dal Google Play Store. Tuttavia, esiste la possibilità che venga caricato su siti Web non ufficiali o app store alternativi.

Operazioni e comunicazioni di AhRat tramite le interazioni del server di comando e controllo

Una volta che AhRat è installato su un dispositivo, stabilisce la comunicazione con il server di comando e controllo (C&C). Trasmette i dettagli essenziali del dispositivo e recupera le chiavi di crittografia insieme a un file di configurazione crittografato. Questo file di configurazione contiene vari comandi e dettagli di configurazione che regolano il comportamento di AhRat sul dispositivo di destinazione.

AhRat invia richieste regolari al server C&C ogni 15 minuti per ottenere un file di configurazione aggiornato. Questo file include istruzioni come la directory per l'estrazione dei dati dell'utente, i tipi di file specifici da estrarre, una soglia per le dimensioni del file, la durata della registrazione del microfono e l'intervallo tra le registrazioni.

Vale la pena notare che il file di configurazione decrittografato contiene un set di comandi più ampio di quello che AhRat è attualmente programmato per eseguire. Ciò suggerisce che AhRat potrebbe essere una versione semplificata rispetto alla sua versione iniziale, che conteneva solo codice dannoso inalterato dall'AhMyth RAT. Tuttavia, AhRat rimane in grado di estrarre file dal dispositivo compromesso e registrare l'audio attraverso il microfono del dispositivo.