De AhRat Remote Access Trojan richt zich op Android-apparaten en hun opgeslagen gegevens

AhRat is een kwaadaardige Remote Access Trojan (RAT) die zich voornamelijk richt op Android-apparaten. Het werd verspreid via een getrojaniseerde schermopname-applicatie, vermomd als een legitieme app in de Google Play Store. De originele versie van de app die naar de winkel werd geüpload, had geen schadelijke kenmerken, maar later manipuleerden bedreigingsactoren de functionaliteit en introduceerden er kwaadaardige componenten in.

AhRat is gebaseerd op een andere RAT genaamd AhMyth, wat wijst op een verband tussen de twee. Er bestaan ten minste twee versies van de kwaadaardige AhRat-code. De getrojaniseerde app die wordt gebruikt om AhRat te verspreiden, heet iRecorder - Screen Recorder.

AhRat infiltreert Android-apparaten via apps met trojans

Hoewel de kwaadaardige iRecorder-app echte schermopnamemogelijkheden lijkt te bieden, beschikt deze ook over extra kwaadaardige functionaliteiten. Het kan bijvoorbeeld audio opnemen van de microfoon van het apparaat en die opname vervolgens verzenden naar een command and control-server (C&C) die wordt beheerd door een hacker. Hierdoor kan de aanvaller gesprekken afluisteren of gevoelige audio-informatie verzamelen.

Bovendien heeft de app de mogelijkheid om verschillende soorten bestanden van het gecompromitteerde apparaat te extraheren en over te zetten. Het kan opgeslagen webpagina's, afbeeldingen, audio, video, documentbestanden en gecomprimeerde archieven met meerdere bestanden ophalen. Dit suggereert dat AhRat betrokken is bij spionageactiviteiten, aangezien het zich specifiek richt op het stelen van bestanden met bepaalde extensies.

De getrojaniseerde app met de AhRat-code is verwijderd uit de Google Play Store. Het is echter mogelijk dat het wordt geüpload naar niet-officiële websites of alternatieve app-winkels.

AhRat's operaties en communicatie via Command and Control Server-interacties

Zodra AhRat op een apparaat is geïnstalleerd, brengt het communicatie tot stand met de command and control (C&C)-server. Het verzendt essentiële apparaatgegevens en haalt coderingssleutels op samen met een gecodeerd configuratiebestand. Dit configuratiebestand bevat verschillende opdrachten en configuratiedetails die het gedrag van AhRat op het doelapparaat bepalen.

AhRat stuurt regelmatig verzoeken naar de C&C-server om de 15 minuten om een bijgewerkt configuratiebestand te verkrijgen. Dit bestand bevat instructies zoals de directory voor het extraheren van gebruikersgegevens, specifieke bestandstypen die moeten worden geëxtraheerd, een drempelwaarde voor de bestandsgrootte, de opnameduur van de microfoon en het interval tussen opnamen.

Het is vermeldenswaard dat het gedecodeerde configuratiebestand een grotere set commando's bevat dan waarvoor AhRat momenteel is geprogrammeerd om uit te voeren. Dit suggereert dat AhRat mogelijk een gestroomlijnde versie is in vergelijking met de oorspronkelijke release, die alleen ongewijzigde kwaadaardige code van de AhMyth RAT bevatte. AhRat blijft echter in staat om bestanden van het gecompromitteerde apparaat te extraheren en audio op te nemen via de microfoon van het apparaat.