Trojan zdalnego dostępu AhRat atakuje urządzenie z Androidem i przechowywane na nim dane

AhRat to złośliwy trojan dostępu zdalnego (RAT), którego głównym celem są urządzenia z Androidem. Był dystrybuowany za pośrednictwem trojanizowanej aplikacji do nagrywania ekranu udającej legalną aplikację w sklepie Google Play. Oryginalna wersja aplikacji przesłana do sklepu nie miała żadnych złośliwych cech, jednak później cyberprzestępcy manipulowali jej funkcjonalnością i wprowadzali do niej złośliwe komponenty.

AhRat jest oparty na innym RAT o nazwie AhMyth, co wskazuje na związek między nimi. Istnieją co najmniej dwie wersje złośliwego kodu AhRat. Trojanizowana aplikacja używana do dystrybucji AhRat nosi nazwę iRecorder - Screen Recorder.

AhRat infiltruje urządzenia z systemem Android za pośrednictwem aplikacji trojanizowanych

Chociaż złośliwa aplikacja iRecorder wydaje się zapewniać prawdziwe możliwości nagrywania ekranu, posiada również dodatkowe szkodliwe funkcje. Na przykład może nagrywać dźwięk z mikrofonu urządzenia, a następnie przesyłać to nagranie do serwera dowodzenia i kontroli (C&C) obsługiwanego przez hakera. Dzięki temu atakujący może podsłuchiwać rozmowy lub zbierać poufne informacje dźwiękowe.

Ponadto aplikacja ma możliwość wyodrębniania i przesyłania różnych typów plików z zaatakowanego urządzenia. Może odzyskiwać zapisane strony internetowe, obrazy, pliki audio, wideo, dokumenty, a także skompresowane archiwa zawierające wiele plików. Sugeruje to, że AhRat jest zaangażowany w działania szpiegowskie, ponieważ jego celem jest kradzież plików z określonymi rozszerzeniami.

Trojanizowana aplikacja zawierająca kod AhRat została usunięta ze sklepu Google Play. Istnieje jednak możliwość, że zostanie przesłana na nieoficjalne strony internetowe lub alternatywne sklepy z aplikacjami.

Operacje i komunikacja AhRat za pośrednictwem interakcji serwera dowodzenia i kontroli

Po zainstalowaniu AhRat na urządzeniu nawiązuje komunikację z serwerem dowodzenia i kontroli (C&C). Przesyła istotne szczegóły urządzenia i pobiera klucze szyfrujące wraz z zaszyfrowanym plikiem konfiguracyjnym. Ten plik konfiguracyjny zawiera różne polecenia i szczegóły konfiguracji, które regulują zachowanie AhRat na docelowym urządzeniu.

AhRat wysyła regularne żądania do serwera C&C co 15 minut w celu uzyskania zaktualizowanego pliku konfiguracyjnego. Ten plik zawiera instrukcje, takie jak katalog do wyodrębniania danych użytkownika, określone typy plików do wyodrębnienia, próg rozmiaru pliku, czas nagrywania mikrofonu i odstęp między nagraniami.

Warto zauważyć, że odszyfrowany plik konfiguracyjny zawiera większy zestaw poleceń niż to, do wykonania którego AhRat jest obecnie zaprogramowany. Sugeruje to, że AhRat może być usprawnioną wersją w porównaniu z pierwotną wersją, która zawierała jedynie niezmieniony złośliwy kod z AhMyth RAT. Jednak AhRat nadal może wyodrębniać pliki z zaatakowanego urządzenia i nagrywać dźwięk przez mikrofon urządzenia.