AhRat 远程访问木马针对 Android 设备及其存储的数据

AhRat 是一种恶意远程访问木马 (RAT)，主要针对 Android 设备。它是通过伪装成 Google Play 商店中合法应用程序的木马化屏幕录制应用程序分发的。上传到商店的应用程序的原始版本没有任何恶意特征，但后来，威胁行为者操纵了它的功能并将恶意组件引入其中。

AhRat 基于另一种名为 AhMyth 的 RAT，表明两者之间存在联系。 AhRat 恶意代码至少有两个版本。用于分发 AhRat 的木马化应用程序称为 iRecorder - Screen Recorder。

AhRat 通过木马化应用渗透 Android 设备

虽然恶意 iRecorder 应用程序似乎提供了真正的屏幕录制功能，但它还具有其他恶意功能。例如，它可以从设备的麦克风录制音频，然后将该录音传输到由黑客运行的命令和控制 (C&C) 服务器。这允许攻击者窃听对话或收集敏感的音频信息。

此外，该应用程序能够从受感染的设备中提取和传输各种类型的文件。它可以检索保存的网页、图像、音频、视频、文档文件，以及包含多个文件的压缩档案。这表明 AhRat 参与了间谍活动，因为它专门针对窃取具有某些扩展名的文件。

包含 AhRat 代码的木马化应用程序已从 Google Play 商店中删除。但是，它有可能会被上传到非官方网站或其他应用程序商店。

AhRat 通过命令和控制服务器交互的操作和通信

一旦 AhRat 安装在设备上，它就会与命令和控制 (C&C) 服务器建立通信。它传输基本的设备详细信息并检索加密密钥以及加密的配置文件。此配置文件包含各种命令和配置详细信息，用于管理 AhRat 在目标设备上的行为。

AhRat 每 15 分钟向 C&C 服务器发送一次定期请求，以获取更新的配置文件。该文件包括诸如用于提取用户数据的目录、要提取的特定文件类型、文件大小阈值、麦克风录音持续时间和录音间隔等说明。

值得注意的是，解密后的配置文件包含的命令集比 AhRat 当前编程执行的命令集多。这表明，与其初始版本相比，AhRat 可能是一个精简版，后者仅包含来自 AhMyth RAT 的未更改的恶意代码。但是，AhRat 仍然能够从受感染的设备中提取文件并通过设备的麦克风录制音频。