WolfRAT cilja na korisnike aplikacija WhatsApp, Facebook Messenger na Android uređajima

  • Nov 01, 2023

Ažurirano: novi zlonamjerni softver je nestabilan i čini se da se radi o neuspješnom pokušaju temeljenom na curenju DenDroid koda.

Novi trojanac je uhvaćen kako cilja tajlandske korisnike aplikacija za razmjenu poruka Whatsapp, Facebook Messenger i Line na mobilnoj platformi Android.

Sigurnost

  • 8 navika iznimno sigurnih radnika na daljinu
  • Kako pronaći i ukloniti špijunski softver s telefona
  • Najbolje VPN usluge: Kako se uspoređuju prvih 5?
  • Kako saznati jeste li uključeni u povredu podataka -- i što učiniti sljedeće

U utorak su istraživači Cisco Talosa rekli da zlonamjerni softver, nazvan WolfRAT, nova je varijanta DenDroida, mobilnog trojanaca s daljinskim pristupom (RAT) čiji je izvorni kod procurio 2015.

U to se vrijeme DenDroid smatrao sofisticiranim paketom zlonamjernog softvera koji je bio u ponudi na podzemnim forumima s cijena od 300 dolara. Međutim, od njegovog curenja pojavile su se varijante koje koriste kod -- ali nisu nužno poboljšane.

WolfRAT započinje svoj lanac infekcije putem lažnih mamaca za ažuriranje zlorabeći legitimne usluge uključujući Flash i Google Play. Ako žrtva sjedne na ovaj trik, RAT će se instalirati na ciljani Android uređaj i obavljati špijunske funkcije, uključujući prikupljanje podataka uređaja, snimanje fotografija i videa, kompromitiranje SMS poruka, snimanje zvuka te krađa i prijenos datoteka na a C2.

Messenger aplikacije su posebno ciljane zbog funkcija eksfiltracije sadržaja uz krađu povijesti preglednika. Na primjer, kada se WhatsApp koristi, zlonamjerni softver pokreće funkciju snimanja zaslona u intervalima od 50 sekundi koja će prestati samo kada se aplikacija zatvori.

Neki C2 se nalaze u Tajlandu, a korištene domene odnose se na tajlandsku hranu. Pronađene su i JavaScript naredbe napisane na tajlandskom.

TechRepublic: Prosječnom građaninu SAD-a osobni podaci ukradeni su najmanje 4 puta u 2019

Prema istraživačima Talosa Warrenu Merceru, Paulu Rascagneresu i Vitoru Venturi, WolfRAT je vjerojatno djelo prodavača špijunskog softvera Wolf Researcha. VirusTotal rekao je 2018 da je organizacija prodala tehnologiju nadzora vladama i da bi njezina rješenja zarazila Windows, iOS i Android strojeve putem lažnih obavijesti o ažuriranju Google Chromea.

Vidi također: COVID-19 krivac je za porast kibernetičkih napada na banke od 238%.

Serveri za naredbu i kontrolu (C2) na koje se poziva WolfRAT krivotvorili su vezu s grupom i njezinim prethodnim radom.

Dok se čini da je Wolf Research formalno zatvoren -- nakon što je promijenio ime u LokD -- možda još ima aktivnih članova.

„Zahvaljujući dijeljenju infrastrukture i zaboravljenim nazivima panela, s velikom pouzdanošću procjenjujemo da je ovo glumac je još uvijek aktivan, još uvijek razvija zlonamjerni softver i koristi ga [...] do danas", tim kaže.

Međutim, istraživači su dodali da trojanac ima "amaterske" značajke, uključujući preklapanja u kodu, mrtvi kod, neiskorištene značajke, kvarove za ispravno upravljanje i instanciranje klasa, nestabilnim paketima, otvorenim panelima i lijenoj upotrebi kopiranja i lijepljenja postojećeg otvorenog koda softver.

Talos je rekao da je nedostatak sofisticiranosti - pogotovo ako je povezan s Wolf Research - na "iznenađujućoj" razini.

CNET: Taj stari Android telefon možda nije siguran za upotrebu: 6 stvari koje treba uzeti u obzir

Talos kaže da je zlonamjerni softver u stalnom razvoju i da bi se moglo dogoditi da sastanak s očekivanja kupaca rezultiralo je užurbanim poslovima, u kojima se nalazi stari kod i suvišne funkcije ignorirani.

"Wolf Research je tvrdio da će zatvoriti svoje operacije, ali jasno vidimo da se njihov prethodni rad nastavlja pod krinkom", komentirali su istraživači. "Sposobnost provođenja ove vrste aktivnosti prikupljanja obavještajnih podataka na telefonima predstavlja veliku ocjenu za operatera. Detalji chata, WhatsApp zapisi, messengeri i SMS-ovi svijeta nose neke osjetljive informacije i ljudi ih odluče zaboraviti kada komuniciraju na njihovom telefonu."

Ažuriraj: Ime druge tvrtke koju je Cisco Talos spominjao u izvješću je uklonjeno zbog nedostatka jasnoće oko navodne veze. ZDNet je zatražio dodatne pojedinosti.

10 najgorih hakiranja i upada podataka u 2019. (u slikama)

Prethodno i povezano izvješće

  • Ovaj novi, neobični Trojanac žrtvama COVID-19 obećava porezne olakšice
  • Mikroceen RAT u novom valu napada zaokružuje mreže azijske vlade
  • Cybersecurity 101: Zaštitite svoju privatnost od hakera, špijuna i vlade

Imate savjet? Stupite u kontakt sigurno putem WhatsAppa | Signal na +447713 025 499 ili na Keybase: charlie0