OmniRAT

OmniRAT ist ein Remoteverwaltungs-Tool, das DroidJack sehr ähnlich ist, jedoch mit stark erweiterten Funktionen ausgestattet ist. Während DroidJack ausschließlich die Kontrolle über Android-Geräte übernehmen konnte, funktioniert OmniRAT auf Windows-, Linux- und Mac-Geräten. Ein weiterer Unterschied bestand darin, dass Sie bei DroidJack zwar bis zu 210 US-Dollar zahlen mussten, OmniRAT jedoch zu deutlich geringeren Kosten von 25 oder 50 US-Dollar erhältlich war, je nachdem, welche Stufe der Kunde gewählt hat.

Remote Administration Tools sind von Natur aus nicht bedrohlich. Sie bieten Benutzern lediglich die Möglichkeit, remote auf Aufgaben auf ihren Geräten zuzugreifen und diese auszuführen. Das Problem ist, dass solche Programme von Hackern leicht angeeignet und als grundlegender Bestandteil ihrer kriminellen Aktivitäten verwendet werden können. In der Tat könnte sogar die unveränderte Version von OmniRAT Befehle ausführen, Audio aufzeichnen, laufende Prozesse oder Dienste auf dem Gerät auflisten, auf Kontaktlisten zugreifen, Anrufe tätigen und Nachrichten senden sowie auf den Browserverlauf zugreifen und ihn löschen usw. Kein Wunder, bald nachdem das Programm gestartet wurde, wurde eine SMS-Angriffskampagne mit einer benutzerdefinierten Version von OmniRAT erkannt.

Die Nutzdaten wurden über SMS-Nachrichten verteilt, in denen behauptet wurde, der Zielbenutzer habe eine MMS erhalten, sie konnte jedoch aufgrund der Android-Sicherheitsanfälligkeit StageFright nicht direkt zugestellt werden. Ein Link zu einer Website, auf der die Benutzer ihre Telefonnummern und eine in der SMS angegebene Codenummer eingeben mussten, führte zum Herunterladen und Installieren einer APK-Datei mit OmniRAT. Die Anwendung verlangt dann, verschiedene aufdringliche Berechtigungen zu erhalten, die sich nicht wesentlich vom Verhalten legitimer Anwendungen unterscheiden. Wenn dies erfolgreich ist, erhalten die Hacker die volle Kontrolle über das gefährdete Gerät. OmniRAT könnte dann weiter verbreitet werden, indem SMS-Nachrichten vom Gerät an die Kontaktlisten des Benutzers gesendet werden.

Während die Autoren von OmniRAT auf der offiziellen Website des Programms erklärt hatten, dass sie keine illegale Nutzung der Anwendung unterstützen und die Diskretion ausschließlich den Kunden obliegt, half es nicht, als die deutsche Polizei 2019 ihr Haus überfiel und ihre Laptops, Computer und mobile Geräte beschlagnahmte. Die Razzia war höchstwahrscheinlich Teil der Untersuchung eines Cyber-Angriffs, der einige Monate zuvor stattgefunden hatte. Dies ähnelt der Operation 2015 gegen DroidJack.

Die Hacker starteten eine Kampagne gegen Unternehmen, die in verschiedenen Branchen tätig sind. Der erste Exploit, der zur Gefährdung der Zielcomputer verwendet wurde, war eine Sicherheitsanfälligkeit bezüglich Remotecodeausführung mit der Bezeichnung CVE-2016-7262 in Microsoft Excel. Die vergiftete Excel-Tabelle wurde so gestaltet, als ob sie von der Kuwait Petroleum Corporation (KPC) gesendet wurde. Die gelieferte Nutzlast war OmniRAT.