AhRat リモート アクセス トロイの木馬は Android デバイスとその保存データをターゲットにします

AhRat は、主に Android デバイスをターゲットとする悪意のあるリモート アクセス トロイの木馬 (RAT) です。これは、Google Play ストア上の正規のアプリを装った、トロイの木馬化された画面録画アプリケーションを通じて配布されました。ストアにアップロードされたアプリの元のバージョンには悪意のある特徴はありませんでしたが、その後、脅威アクターがその機能を操作し、悪意のあるコンポーネントをアプリに導入しました。

AhRat は AhMyth と呼ばれる別の RAT に基づいており、この 2 つの RAT の間にはつながりがあることがわかります。 AhRat の悪意のあるコードには少なくとも 2 つのバージョンが存在します。 AhRat の配布に使用されるトロイの木馬化されたアプリは、iRecorder (スクリーン レコーダー) と呼ばれます。

AhRat がトロイの木馬化アプリを介して Android デバイスに侵入

悪意のある iRecorder アプリは、本物の画面録画機能を提供しているように見えますが、追加の悪意のある機能も備えています。たとえば、デバイスのマイクから音声を録音し、その録音をハッカーが実行するコマンド アンド コントロール (C&C) サーバーに送信する可能性があります。これにより、攻撃者は会話を盗聴したり、機密の音声情報を収集したりすることが可能になります。

さらに、このアプリには、侵害されたデバイスからさまざまな種類のファイルを抽出して転送する機能があります。保存された Web ページ、画像、オーディオ、ビデオ、ドキュメント ファイルのほか、複数のファイルを含む圧縮アーカイブを取得できます。これは、AhRat が特定の拡張子を持つファイルの窃盗を特にターゲットにしていることから、スパイ活動に関与していることを示唆しています。

AhRat コードを含むトロイの木馬化されたアプリは Google Play ストアから削除されました。ただし、非公式ウェブサイトや代替アプリストアにアップロードされる可能性があります。

AhRat の操作とコマンド アンド コントロール サーバーの相互作用を介した通信

AhRat がデバイスにインストールされると、コマンド アンド コントロール (C&C) サーバーとの通信が確立されます。重要なデバイスの詳細を送信し、暗号化された構成ファイルとともに暗号化キーを取得します。この設定ファイルには、ターゲット デバイス上での AhRat の動作を制御するさまざまなコマンドと設定の詳細が含まれています。

AhRat は、更新された構成ファイルを取得するために、15 分ごとに定期的なリクエストを C&C サーバーに送信します。このファイルには、ユーザー データを抽出するディレクトリ、抽出する特定のファイル タイプ、ファイル サイズのしきい値、マイクの録音時間、録音間隔などの指示が含まれています。

復号化された設定ファイルには、AhRat が現在実行するようにプログラムされているものよりも多くのコマンド セットが含まれていることは注目に値します。これは、AhRat が、AhMyth RAT からの未変更の悪意のあるコードのみを含む最初のリリースと比較して合理化されたバージョンである可能性があることを示唆しています。ただし、AhRat は、侵害されたデバイスからファイルを抽出し、デバイスのマイクを通じて音声を録音することができます。