AhRat 遠程訪問木馬針對 Android 設備及其存儲的數據

AhRat 是一種惡意遠程訪問木馬 (RAT)，主要針對 Android 設備。它是通過偽裝成 Google Play 商店中合法應用程序的木馬化屏幕錄製應用程序分發的。上傳到商店的應用程序的原始版本沒有任何惡意特徵，但後來，威脅行為者操縱了它的功能並將惡意組件引入其中。

AhRat 基於另一種名為 AhMyth 的 RAT，表明兩者之間存在聯繫。 AhRat 惡意代碼至少有兩個版本。用於分發 AhRat 的木馬化應用程序稱為 iRecorder - Screen Recorder。

AhRat 通過木馬化應用滲透 Android 設備

雖然惡意 iRecorder 應用程序似乎提供了真正的屏幕錄製功能，但它還具有其他惡意功能。例如，它可以從設備的麥克風錄製音頻，然後將該錄音傳輸到由黑客運行的命令和控制 (C&C) 服務器。這允許攻擊者竊聽對話或收集敏感的音頻信息。

此外，該應用程序能夠從受感染的設備中提取和傳輸各種類型的文件。它可以檢索保存的網頁、圖像、音頻、視頻、文檔文件，以及包含多個文件的壓縮檔案。這表明 AhRat 參與了間諜活動，因為它專門針對竊取具有某些擴展名的文件。

包含 AhRat 代碼的木馬化應用程序已從 Google Play 商店中刪除。但是，它有可能會被上傳到非官方網站或其他應用程序商店。

AhRat 通過命令和控制服務器交互的操作和通信

一旦 AhRat 安裝在設備上，它就會與命令和控制 (C&C) 服務器建立通信。它傳輸基本的設備詳細信息並檢索加密密鑰以及加密的配置文件。此配置文件包含各種命令和配置詳細信息，用於管理 AhRat 在目標設備上的行為。

AhRat 每 15 分鐘向 C&C 服務器發送一次定期請求，以獲取更新的配置文件。該文件包括諸如用於提取用戶數據的目錄、要提取的特定文件類型、文件大小閾值、麥克風錄音持續時間和錄音間隔等說明。

值得注意的是，解密後的配置文件包含的命令集比 AhRat 當前編程執行的命令集多。這表明，與其初始版本相比，AhRat 可能是一個精簡版，後者僅包含來自 AhMyth RAT 的未更改的惡意代碼。但是，AhRat 仍然能夠從受感染的設備中提取文件並通過設備的麥克風錄製音頻。