AhRat Remote Access Trojan riktar sig till Android-enheter och deras lagrade data

AhRat är en skadlig Remote Access Trojan (RAT) som främst riktar sig till Android-enheter. Den distribuerades via en trojaniserad skärminspelningsapplikation förklädd som en legitim app i Google Play Store. Den ursprungliga versionen av appen som laddades upp till butiken hade inga skadliga egenskaper, men senare manipulerade hotaktörer dess funktionalitet och introducerade skadliga komponenter i den.

AhRat är baserad på en annan RAT som kallas AhMyth, vilket indikerar ett samband mellan de två. Det finns minst två versioner av AhRat skadliga kod. Den trojaniserade appen som används för att distribuera AhRat kallas iRecorder - Screen Recorder.

AhRat infiltrerar Android-enheter via trojaniserade appar

Även om den skadliga iRecorder-appen verkar ge genuina skärminspelningsmöjligheter, har den också ytterligare skadliga funktioner. Det kan till exempel spela in ljud från enhetens mikrofon och sedan överföra inspelningen till en kommando- och kontrollserver (C&C) som drivs av en hacker. Detta gör att angriparen kan avlyssna konversationer eller samla in känslig ljudinformation.

Dessutom har appen möjlighet att extrahera och överföra olika typer av filer från den komprometterade enheten. Det kan hämta sparade webbsidor, bilder, ljud, video, dokumentfiler, såväl som komprimerade arkiv som innehåller flera filer. Detta tyder på att AhRat är inblandad i spionageaktiviteter, eftersom det specifikt är inriktat på att stjäla filer med vissa tillägg.

Den trojaniserade appen som innehåller AhRat-koden har tagits bort från Google Play Butik. Det finns dock en möjlighet att det kan laddas upp till inofficiella webbplatser eller alternativa appbutiker.

AhRats verksamhet och kommunikation via kommando- och kontrollserverinteraktioner

När AhRat har installerats på en enhet upprättar den kommunikation med kommando- och kontrollservern (C&C). Den överför viktiga enhetsdetaljer och hämtar krypteringsnycklar tillsammans med en krypterad konfigurationsfil. Den här konfigurationsfilen innehåller olika kommandon och konfigurationsdetaljer som styr AhRats beteende på den riktade enheten.

AhRat skickar regelbundna förfrågningar till C&C-servern var 15:e minut för att få en uppdaterad konfigurationsfil. Den här filen innehåller instruktioner som katalogen för att extrahera användardata, specifika filtyper att extrahera, ett tröskelvärde för filstorlek, mikrofoninspelningslängd och intervallet mellan inspelningar.

Det är värt att notera att den dekrypterade konfigurationsfilen innehåller en större uppsättning kommandon än vad AhRat för närvarande är programmerat att köra. Detta tyder på att AhRat kan vara en strömlinjeformad version jämfört med dess ursprungliga version, som bara innehöll oförändrad skadlig kod från AhMyth RAT. AhRat förblir dock kapabel att extrahera filer från den komprometterade enheten och spela in ljud via enhetens mikrofon.