Троянец удаленного доступа AhRat нацелен на устройства Android и их сохраненные данные

AhRat — это вредоносный троян удаленного доступа (RAT), который в первую очередь нацелен на устройства Android. Он распространялся через троянское приложение для записи экрана, замаскированное под легальное приложение в магазине Google Play. Первоначальная версия приложения, загруженная в магазин, не имела каких-либо вредоносных характеристик, но впоследствии злоумышленники манипулировали его функционалом и внедряли в него вредоносные компоненты.

AhRat основан на другой RAT под названием AhMyth, что указывает на связь между ними. Существует как минимум две версии вредоносного кода AhRat. Троянское приложение, используемое для распространения AhRat, называется iRecorder — Screen Recorder.

AhRat проникает в Android-устройства через троянские приложения

Хотя вредоносное приложение iRecorder, по-видимому, обеспечивает подлинные возможности записи экрана, оно также обладает дополнительными вредоносными функциями. Например, он может записывать звук с микрофона устройства, а затем передавать эту запись на сервер управления и контроля (C&C), управляемый хакером. Это позволяет злоумышленнику подслушивать разговоры или собирать конфиденциальную аудиоинформацию.

Кроме того, приложение имеет возможность извлекать и передавать различные типы файлов со взломанного устройства. Он может извлекать сохраненные веб-страницы, изображения, аудио, видео, файлы документов, а также сжатые архивы, содержащие несколько файлов. Это говорит о том, что AhRat причастен к шпионской деятельности, поскольку специально нацелен на кражу файлов с определенными расширениями.

Троянизированное приложение, содержащее код AhRat, было удалено из магазина Google Play. Однако существует вероятность того, что оно может быть загружено на неофициальные веб-сайты или альтернативные магазины приложений.

Операции и связь AhRat через взаимодействие с сервером управления и контроля

Как только AhRat установлен на устройстве, он устанавливает связь с сервером управления и контроля (C&C). Он передает важные сведения об устройстве и извлекает ключи шифрования вместе с зашифрованным файлом конфигурации. Этот файл конфигурации содержит различные команды и детали конфигурации, которые управляют поведением AhRat на целевом устройстве.

AhRat отправляет регулярные запросы на C&C-сервер каждые 15 минут для получения обновленного файла конфигурации. Этот файл содержит такие инструкции, как каталог для извлечения пользовательских данных, конкретные типы файлов для извлечения, пороговое значение размера файла, продолжительность записи с микрофона и интервал между записями.

Стоит отметить, что расшифрованный файл конфигурации содержит больший набор команд, чем тот, который в настоящее время запрограммирован для выполнения AhRat. Это говорит о том, что AhRat может быть упрощенной версией по сравнению с его первоначальным выпуском, который содержал только неизмененный вредоносный код из AhMyth RAT. Однако AhRat по-прежнему может извлекать файлы со взломанного устройства и записывать звук через микрофон устройства.