„AhRat“ nuotolinės prieigos Trojos arklys skirtas „Android“ įrenginiui ir jų saugomiems duomenims

AhRat yra kenkėjiškas nuotolinės prieigos Trojos arklys (RAT), kuris pirmiausia skirtas Android įrenginiams. Jis buvo platinamas per Trojanizuotą ekrano įrašymo programą, užmaskuotą kaip teisėta programa „Google Play“ parduotuvėje. Pradinė į parduotuvę įkelta programėlės versija neturėjo jokių kenkėjiškų savybių, tačiau vėliau grėsmės veikėjai manipuliavo jos funkcionalumu ir į ją įtraukė kenkėjiškų komponentų.

„AhRat“ yra pagrįsta kita RAT, vadinama „AhMyth“, nurodant ryšį tarp jų. Egzistuoja mažiausiai dvi AhRat kenkėjiško kodo versijos. Trojanizuota programėlė, naudojama platinti AhRat, vadinama iRecorder – Screen Recorder.

„AhRat“ įsiskverbia į „Android“ įrenginius per Trojanizuotas programas

Nors atrodo, kad kenkėjiška programa „iRecorder“ suteikia tikrų ekrano įrašymo galimybių, ji taip pat turi papildomų kenkėjiškų funkcijų. Pavyzdžiui, jis gali įrašyti garsą iš įrenginio mikrofono ir perduoti tą įrašą į komandų ir valdymo (C&C) serverį, kurį valdo įsilaužėlis. Tai leidžia užpuolikui klausytis pokalbių arba rinkti jautrią garso informaciją.

Be to, programėlė turi galimybę iš pažeisto įrenginio išgauti ir perkelti įvairių tipų failus. Jis gali nuskaityti išsaugotus tinklalapius, vaizdus, garso, vaizdo įrašus, dokumentų failus, taip pat suglaudintus archyvus, kuriuose yra keli failai. Tai rodo, kad „AhRat“ dalyvauja šnipinėjimo veikloje, nes jis konkrečiai nukreiptas į failų su tam tikrais plėtiniais grobstymą.

Trojanizuota programa, kurioje yra „AhRat“ kodas, buvo pašalinta iš „Google Play“ parduotuvės. Tačiau yra tikimybė, kad jis gali būti įkeltas į neoficialias svetaines ar alternatyvias programų parduotuves.

„AhRat“ operacijos ir ryšys per komandų ir valdymo serverio sąveikas

Kai AhRat įdiegiamas įrenginyje, jis užmezga ryšį su komandų ir valdymo (C&C) serveriu. Jis perduoda esminę įrenginio informaciją ir nuskaito šifravimo raktus kartu su užšifruotu konfigūracijos failu. Šiame konfigūracijos faile yra įvairių komandų ir konfigūracijos detalių, kurios reguliuoja „AhRat“ elgesį tiksliniame įrenginyje.

„AhRat“ siunčia reguliarias užklausas C&C serveriui kas 15 minučių, kad gautų atnaujintą konfigūracijos failą. Šiame faile yra instrukcijos, pvz., vartotojo duomenų išskleidimo katalogas, konkretūs išgauti failų tipai, failo dydžio slenkstis, mikrofono įrašymo trukmė ir intervalas tarp įrašų.

Verta paminėti, kad iššifruotame konfigūracijos faile yra didesnis komandų rinkinys, nei šiuo metu užprogramuotas vykdyti AhRat. Tai rodo, kad „AhRat“ gali būti supaprastinta versija, palyginti su pradiniu leidimu, kuriame buvo tik nepakeistas kenkėjiškas kodas iš „AhMyth RAT“. Tačiau „AhRat“ gali išgauti failus iš pažeisto įrenginio ir įrašyti garsą per įrenginio mikrofoną.