Нов открит Android зловреден код предизвиква сериозно безпокойство в експертните среди. RadzaRat е нов дистанционен троянец (RAT), който позволява на нападателите не просто достъп до устройството, а практически пълен контрол и възможност за непрекъснато следене.

Зловредният софтуер е идентифициран от изследователи на Certo и се представя като легитимно приложение за управление на файлове. Реално обаче осигурява на атакуващите дистанционен файлов достъп, кейлогър функции, постоянна видимост върху активността и потенциал за ескалация на привилегии.

Най-притеснителният факт: към момента RadzaRat има 0 откриваемост от 66 антивирусни решения във VirusTotal, което го прави напълно невидим за мобилната защита.

Безплатна инфраструктура и лесно използване: идеален инструмент за начинаещи киберпрестъпници

RadzaRat придобива видима популярност в подземните форуми, тъй като е:

• лесен за разгръщане,

• използва безплатни инфраструктурни услуги,

• достъпен е като публичен проект в GitHub,

• разработен е така, че да изисква минимални технически знания.

Според анализаторите, авторът му, известен като Heron44, популяризира инструмента като „готово решение“ за дистанционно проникване. За да бъде използван, са нужни три компонента:

1. Сървър в Render.com (легитимна облачна платформа)

2. Телеграм бот за команден и контролен канал

3. Инсталиране на модифицираното приложение на целевото устройство

Моделът на разпространение показва, че инструментът се развива активно. Налични са препратки към бъдеща версия 1.1, което означава, че функционалността ще бъде разширена.

Пълни шпионски функции: от файлов достъп до прихващане на натискания на клавиши

Експертите определят RadzaRat като особено опасен, тъй като предлага:

• Кражба и прехвърляне на големи файлове

Зловредният код поддържа изтегляне на файлове до 10 GB, включително медийни колекции, документи и архиви.

• Кейлогър, базиран на Accessibility Service

RadzaRat използва Android Accessibility Service, за да прихваща всяко натискане на клавишите. Това означава достъп до:

• пароли

• номера на кредитни карти

• лични съобщения

• търсения

• идентификационни кодове

Тази техника става все по-честа сред Android зловредните програми, тъй като не изисква root права, но дава значителен контрол.

• Потенциал за администраторски привилегии

Присъствието на MyDeviceAdminReceiver подсказва, че RadzaRat може да поиска администраторски разрешения, които:

• блокират деинсталацията

• осигуряват допълнителни системни възможности

• дават устойчивост след рестартиране

Повишени рискове за потребителите: защо стандартната защита не е достатъчна

RadzaRat е пример за тенденция, при която зловредните програми:

• използват легитимни облачни услуги

• разчитат на социално инженерство за получаване на разрешения

• заобикалят традиционните антивирусни механизми

Изследователите предупреждават, че инсталирането само от Google Play вече не е гаранция за безопасност. Приложенията могат да злоупотребят с:

• Permissive Accessibility права

• Искания за игнориране на оптимизацията на батерията

• Администраторски разрешения

Препоръки за защита

Потребителите трябва да бъдат особено внимателни при:

• предоставяне на Accessibility достъп

• разрешения за Device Administrator

• инсталиране на приложения извън официални магазини

• одобряване на прекомерни или необичайни права

Организации и MSSP доставчици трябва да следят за нови сигнатури и обновления от мобилните защитни платформи, тъй като RadzaRat вероятно ще бъде използван в широк спектър от атаки.