AhRat Remote Access Trojan retter seg mot Android-enheten og deres lagrede data

AhRat er en ondsinnet Remote Access Trojan (RAT) som først og fremst retter seg mot Android-enheter. Den ble distribuert gjennom en trojanisert skjermopptaksapplikasjon forkledd som en legitim app i Google Play-butikken. Den originale versjonen av appen som ble lastet opp til butikken hadde ingen ondsinnede egenskaper, men senere manipulerte trusselaktører funksjonaliteten og introduserte ondsinnede komponenter i den.

AhRat er basert på en annen RAT kalt AhMyth, noe som indikerer en forbindelse mellom de to. Det finnes minst to versjoner av AhRat ondsinnet kode. Den trojaniserte appen som brukes til å distribuere AhRat kalles iRecorder - Screen Recorder.

AhRat Infiltrerer Android-enheter via trojaniserte apper

Mens den ondsinnede iRecorder-appen ser ut til å gi ekte skjermopptaksfunksjoner, har den også flere skadelige funksjoner. Den kan for eksempel ta opp lyd fra enhetens mikrofon, og deretter overføre opptaket til en kommando- og kontrollserver (C&C) som drives av en hacker. Dette gjør at angriperen kan avlytte samtaler eller samle inn sensitiv lydinformasjon.

Dessuten har appen muligheten til å trekke ut og overføre ulike typer filer fra den kompromitterte enheten. Den kan hente lagrede nettsider, bilder, lyd, video, dokumentfiler, samt komprimerte arkiver som inneholder flere filer. Dette antyder at AhRat er involvert i spionasjeaktiviteter, siden det spesifikt er rettet mot tyveri av filer med visse utvidelser.

Den trojaniserte appen som inneholder AhRat-koden er fjernet fra Google Play Store. Det er imidlertid en mulighet for at den kan lastes opp til uoffisielle nettsteder eller alternative appbutikker.

AhRats operasjoner og kommunikasjon via kommando- og kontrollserverinteraksjoner

Når AhRat er installert på en enhet, etablerer den kommunikasjon med kommando- og kontrollserveren (C&C). Den overfører viktige enhetsdetaljer og henter krypteringsnøkler sammen med en kryptert konfigurasjonsfil. Denne konfigurasjonsfilen inneholder ulike kommandoer og konfigurasjonsdetaljer som styrer AhRats oppførsel på den målrettede enheten.

AhRat sender regelmessige forespørsler til C&C-serveren hvert 15. minutt for å få en oppdatert konfigurasjonsfil. Denne filen inneholder instruksjoner som katalogen for å trekke ut brukerdata, spesifikke filtyper som skal trekkes ut, en filstørrelsesterskel, mikrofonopptaksvarighet og intervallet mellom opptak.

Det er verdt å merke seg at den dekrypterte konfigurasjonsfilen inneholder et større sett med kommandoer enn det AhRat for øyeblikket er programmert til å utføre. Dette antyder at AhRat kan være en strømlinjeformet versjon sammenlignet med den første utgivelsen, som bare inneholdt uendret ondsinnet kode fra AhMyth RAT. AhRat forblir imidlertid i stand til å trekke ut filer fra den kompromitterte enheten og ta opp lyd gjennom enhetens mikrofon.