Questo tool, noto già dal 2012 e sviluppato inizialmente come progetto open source in ambito universitario, consente di accedere ad un dispositivo a distanza e può essere controllato mediante un’applicazione desktop per estrarre informazioni da un telefono Android. Se usato a scopi malevoli, AndroRAT può consentire ad un attaccante, tra le altre cose, di recuperare gli SMS e i file memorizzati sul dispositivo, rintracciare la posizione del telefono sia tramite la rete, sia sfruttando il GPS, accedere alla rubrica.
Questa nuova variante di AndroRAT si camuffa da un’app di utilità chiamata TrashCleaner, che viene presumibilmente scaricata da un URL malevolo.
AndroRAT sfrutta una vulnerabilità divulgata pubblicamente nel 2016 (CVE-2015-1805) che consente di effettuare l’elevazione dei privilegi ed ottenere i diritti di root, necessari per eseguire azioni privilegiate sul dispositivo. Questa vulnerabilità è già stata risolta da Google nel marzo del 2016. Ciò nonostante, i dispositivi con installate versioni di Android non più supportate e che quindi non ricevono più aggiornamenti di sicurezza o quelli con periodi di distribuzione degli aggiornamenti molto lunghi, rimangono esposti al rischio di essere compromessi da questa nuova variante di AndroRAT.
Una volta lanciata sul dispositivo della vittima, TrashCleaner installa una seconda app con un nome in Cinese la cui icona assomiglia all’applicazione Calcolatrice preinstallata in molti sistemi Android. Allo stesso tempo, l’icona di TrashCleaner viene rimossa dall’interfaccia utente del dispositivo e il RAT viene attivato in background.
Il RAT configurabile viene controllato da un server remoto e riceve comandi che attivano un gran numero di azioni malevole. Questa variante di AndroRAT è in grado di eseguire le seguenti azioni che si ritrovano anche nella versione originale del tool:
- registrazione audio;
- scatto di foto utilizzando la fotocamera del dispositivo;
- furto di informazioni di sistema quali modello di telefono, numero, IMEI, ecc.;
- furto di nomi Wi-Fi connessi al dispositivo;
- furto di registri delle chiamate comprese le chiamate in entrata e in uscita;
- furto della posizione delle celle di rete mobile;
- furto della posizione GPS;
- furto dell’elenco dei contatti;
- furto di file sul dispositivo;
- furto dell’elenco di app in esecuzione;
- furto di SMS memorizzati sul dispositivo;
- monitoraggio degli SMS in entrata e in uscita.
In aggiunta, questa nuova variante di AndroRAT esegue le seguenti azioni privilegiate:
- furto di informazioni sulla rete mobile, capacità di archiviazione, stato del rooting;
- furto dell’elenco di app installate;
- furto della cronologia di navigazione Web dai browser preinstallati;
- furto di eventi del calendario;
- registrazione delle chiamate;
- caricamento di file sul dispositivo della vittima;
- scatto di foto ad alta risoluzione con la fotocamera anteriore;
- elimina ed invio di SMS contraffatti;
- cattura dello schermo;
- esecuzione di comandi di shell;
- furto di password Wi-Fi;
- abilitazione silenziosa dei servizi di accessibilità per keylogger;
Al momento, la capacità di individuazione di AndroRAT da parte dei più diffusi antivirus risulta piuttosto elevata.
Per evitare di cadere vittime di questo tipo di malware, si raccomanda come sempre agli utenti di dispositivi Android di non installare mai app scaricate da store non ufficiali o direttamente da pacchetti APK e di installare e mantenere aggiornata una soluzione antivirus sul proprio dispositivo.
Nessun commento:
Posta un commento