AndroRAT – wirus, który atakuje stare smartfony z Androidem


Badacze z Trend Micro odkryli nową wersję AndroRAT, złośliwego oprogramowania, które pojawiło się w 2012 roku i wykorzystuje błąd w Androidzie do infekowania telefonów komórkowych

AndroRAT to stary znajomy użytkowników Androida. Jest to złośliwe oprogramowanie odkryte po raz pierwszy w 2012 roku, które wykorzystuje lukę w systemie operacyjnym Android do infekowania smartfonów i tabletów. Google naprawiło problem na dobre w 2016 roku, publikując aktualizację oprogramowania. Nie dotyczyło to jednak starszych wersji systemu operacyjnego. A teraz okazuje się, że ponad 20% smartfonów z zielonym robotem może być zainfekowanych przez AndroRAT, który od tego czasu ewoluował i zyskał nowe funkcje.

To badacze IT z Trend Micro podnieśli alarm, odkrywając AndroRAT w TrashCleaner, aplikacji, która obiecuje oczyścić smartfon z bezużytecznych dokumentów, ale w rzeczywistości instaluje wirusa i przejmuje kontrolę nad urządzeniem. AndroRAT jest bardzo niebezpiecznym złośliwym oprogramowaniem, zdolnym do nagrywania rozmów telefonicznych, zapisywania wysyłanych SMS-ów i co najważniejsze, wykradania wszystkich naszych danych logowania.

Jak AndroRAT infekuje smartfona

Jak wspomniano, zagrożone są starsze smartfony z Androidem, działające na wersji systemu operacyjnego sprzed kilku lat. Według ekspertów podatne są urządzenia z systemem Android KitKat, Jelly Bean, Ice Cream Sandwich lub Gingerbread (które obecnie znajdują się na około 20 procentach urządzeń na zielonym robocie). W najnowszych wersjach Androida Google załatało lukę, która pozwala AndroRAT przejąć kontrolę nad smartfonem.

Złośliwy trojan został odkryty w TrashCleaner, aplikacji, której nie znajdziemy w Google Play Store, a która obiecuje przyspieszyć działanie smartfona poprzez usuwanie niepotrzebnych aplikacji i dokumentów. Ale tak nie jest. Jak tylko aplikacja zostanie zainstalowana, pojawi się komunikat zapraszający użytkownika do pobrania aplikacji Kalkulator, która ma takie samo logo jak aplikacja na Androida, ale jest stworzona przez chiński software house. W tym momencie ikona TrashCleaner znika z interfejsu smartfona, a AndroRAT aktywuje się w tle i zaczyna przejmować kontrolę nad urządzeniem. Złośliwe oprogramowanie jest naprawdę bardzo potężne: potrafi nagrywać rozmowy telefoniczne, samodzielnie robić zdjęcia aparatem, sprawdzać lokalizację użytkownika za pomocą GPS i zapisywać nazwy sieci Wi-Fi, z którymi łączy się smartfon. Ale to nie wszystko. W ostatnich miesiącach AndroRAT dodał do swojego "portfolio" nowe funkcje: jest w stanie wykradać historię przeglądarki, robić zdjęcia przednią kamerą, przesyłać dokumenty na smartfon, wykonywać zrzuty ekranu, a przede wszystkim pozyskiwać dane uwierzytelniające użytkowników (usługi i media społecznościowe).

Ale jak rozprzestrzenia się TrashCleaner, aplikacja, która otwiera drzwi AndroRATowi? Według badaczy Trend Micro, hakerzy rozpowszechniają adres URL do pobrania TrashCleanera za pośrednictwem zwodniczych reklam lub wysyłając wiadomości phishingowe.


Jak bronić się przed AndroRAT

Aby obronić się przed AndroRAT, konieczne jest zablokowanie TrashCleanera, wektora przenoszącego złośliwego trojana. Aplikacja nie jest obecna w Google Play Store i to już powinno dać użytkownikowi do myślenia. Pobierając aplikację z zewnętrznego sklepu, należy upewnić się, że jest to bezpieczne źródło. W większości przypadków, nieoficjalne rynki są wykorzystywane przez hakerów do publikowania swoich zainfekowanych aplikacji. Ponadto, warto zainstalować aplikację antywirusową, aby chronić się podczas surfowania po sieci.