O Trojan de acesso remoto AhRat tem como alvo o dispositivo Android e seus dados armazenados

AhRat é um Trojan de acesso remoto (RAT) malicioso que visa principalmente dispositivos Android. Ele foi distribuído por meio de um aplicativo de gravação de tela trojanizado disfarçado como um aplicativo legítimo na Google Play Store. A versão original do aplicativo carregada na loja não tinha nenhuma característica maliciosa, mas, posteriormente, os agentes de ameaças manipularam sua funcionalidade e introduziram componentes maliciosos nela.

AhRat é baseado em outro RAT chamado AhMyth, indicando uma conexão entre os dois. Existem pelo menos duas versões do código malicioso AhRat. O aplicativo trojanizado usado para distribuir o AhRat é chamado iRecorder - Screen Recorder.

AhRat se infiltrando em dispositivos Android por meio de aplicativos trojanizados

Embora o aplicativo iRecorder malicioso pareça fornecer recursos genuínos de gravação de tela, ele também possui funcionalidades maliciosas adicionais. Por exemplo, ele pode gravar áudio do microfone do dispositivo e, em seguida, transmitir essa gravação para um servidor de comando e controle (C&C) executado por um hacker. Isso permite que o invasor escute conversas ou colete informações de áudio confidenciais.

Além disso, o aplicativo tem a capacidade de extrair e transferir vários tipos de arquivos do dispositivo comprometido. Ele pode recuperar páginas da web salvas, imagens, áudio, vídeo, arquivos de documentos, bem como arquivos compactados contendo vários arquivos. Isso sugere que o AhRat está envolvido em atividades de espionagem, pois visa especificamente o furto de arquivos com determinadas extensões.

O aplicativo trojanizado contendo o código AhRat foi removido da Google Play Store. No entanto, existe a possibilidade de que ele seja carregado em sites não oficiais ou em lojas de aplicativos alternativas.

Operações e comunicação do AhRat por meio de interações do servidor de comando e controle

Depois que o AhRat é instalado em um dispositivo, ele estabelece comunicação com o servidor de comando e controle (C&C). Ele transmite detalhes essenciais do dispositivo e recupera chaves de criptografia junto com um arquivo de configuração criptografado. Este arquivo de configuração contém vários comandos e detalhes de configuração que controlam o comportamento do AhRat no dispositivo de destino.

AhRat envia solicitações regulares ao servidor C&C a cada 15 minutos para obter um arquivo de configuração atualizado. Este arquivo inclui instruções como o diretório para extrair dados do usuário, tipos de arquivo específicos para extrair, um limite de tamanho de arquivo, duração da gravação do microfone e o intervalo entre as gravações.

Vale a pena notar que o arquivo de configuração descriptografado contém um conjunto maior de comandos do que o AhRat está atualmente programado para executar. Isso sugere que o AhRat pode ser uma versão simplificada em comparação com seu lançamento inicial, que continha apenas código malicioso inalterado do AhMyth RAT. No entanto, o AhRat continua sendo capaz de extrair arquivos do dispositivo comprometido e gravar áudio por meio do microfone do dispositivo.