Rogue RAT

Der Cyberkriminelle-Markt im Dark Web entwickelt sich weiter, und das Gleiche gilt für die angebotenen Malware-Tools. Selbst Gauner mit extrem begrenzten technischen Kenntnissen können jetzt eine hoch entwickelte Malware-Bedrohung zu extrem niedrigen Preisen kaufen, anstatt wie bisher eine große Summe investieren zu müssen. In der Tat haben Infosec-Forscher herausgefunden, dass ein potenter RAT (Remote Access Trojan) namens Rogue in unterirdischen Hackerforen für weniger als 30 US-Dollar verkauft wird.

Die Analyse des zugrunde liegenden Codes von Rogue RAT ergab, dass die Bedrohung weniger eine einzigartige Kreation als vielmehr eine Kombination aus zwei bereits etablierten Android RAT-Familien ist. Durch die Ausleihe von Familien Cosmo und Hawkshaw haben die Verantwortlichen von Rogue RAT eine Bedrohung mit einer Vielzahl schädlicher Funktionen geschaffen. Bei vollständiger Bereitstellung auf dem Android-Gerät eines Benutzers initiiert die RAT einen Keylogging-Prozess, mit dem Anmeldeinformationen für Websites, Anwendungsbenutzernamen und -kennwörter sowie vor allem Bankdaten erfasst werden können. Rogue bietet seinen Bedienern ein umfassendes Spionage-Kit mit vielen Funktionen - sie können den GPS-Standort des gefährdeten Geräts verfolgen, beliebige Screenshots und Fotos über die Kamera des Geräts aufnehmen, Audio aufnehmen und vieles mehr.

Um seine Bedrohungsoperationen ausführen zu können, fordert Rogue RAT den Benutzer zunächst auf, ihm die erforderlichen Berechtigungen zu erteilen. Wenn dies abgelehnt wird, belästigt die RAT den Benutzer weiterhin mit Popup-Fenstern, in denen er um Berechtigungen gebeten wird, bis die Anforderung endgültig akzeptiert wird. Rogue registriert sich sofort als Geräteadministrator und entfernt sein Symbol vom Bildschirm des Geräts. Um seine Fähigkeiten zu erhalten, verwendet die Malware-Bedrohung eine gängige Taktik: Sie versucht, den Benutzer dazu zu bringen, sie in Ruhe zu lassen. Wenn das Opfer versucht, die durch die Bedrohung erhaltenen Rechte manuell zu widerrufen, wird die alarmierende Frage "Sind Sie sicher, dass Sie alle Daten löschen möchten?" angezeigt. Rogue RAT nutzt den Firebase-Dienst von Google für Anwendungen, um die Wahrscheinlichkeit zu erhöhen, dass er verborgen bleibt, und um die Erkennung durch Anti-Malware-Lösungen zu vermeiden, sodass er sich als legitime Anwendung ausgeben kann.

Der anfängliche Angriffsvektor, der bei der Verteilung von Rogue RAT verwendet wird, hängt vom spezifischen Cyberkriminellen ab. Sie können eine Phishing-Kampagne einrichten, in der E-Mails mit kompromittierten Anhängen übermittelt werden, die RAT in gefälschte Anwendungen einfügen, Benutzer zum Herunterladen verleiten oder eine andere von ihnen gewählte Methode anwenden.