Ένα νέο, ανοιχτού κώδικα remote access trojan (RAT) με την ονομασία DogeRAT στοχεύει κυρίως χρήστες Android που βρίσκονται στην Ινδία ως μέρος μιας εξελιγμένης εκστρατείας κακόβουλου λογισμικού.

Το κακόβουλο λογισμικό διανέμεται μέσω των μέσων κοινωνικής δικτύωσης και των πλατφορμών ανταλλαγής μηνυμάτων με το πρόσχημα νόμιμων εφαρμογών, όπως το Opera Mini, το OpenAI ChatGOT και οι premium εκδόσεις του YouTube, του Netflix και του Instagram.

«Μόλις εγκατασταθεί στη συσκευή του θύματος, το κακόβουλο λογισμικό αποκτά μη εξουσιοδοτημένη πρόσβαση σε ευαίσθητα δεδομένα, συμπεριλαμβανομένων των επαφών, των μηνυμάτων και των τραπεζικών credential», δήλωσε η εταιρεία κυβερνοασφάλειας CloudSEK σε έκθεση της Δευτέρας.

«Μπορεί επίσης να αναλάβει τον έλεγχο της μολυσμένης συσκευής, επιτρέποντας κακόβουλες ενέργειες, όπως η αποστολή ανεπιθύμητων μηνυμάτων, η πραγματοποίηση μη εξουσιοδοτημένων πληρωμών, η τροποποίηση αρχείων, ακόμη και η απομακρυσμένη λήψη φωτογραφιών μέσω των καμερών της συσκευής».

Το DogeRAT, όπως και πολλές άλλες προσφορές malware-as-a-service (MaaS), προωθείται από τον προγραμματιστή του με έδρα την Ινδία μέσω ενός καναλιού Telegram που έχει περισσότερους από 2.100 συνδρομητές από τότε που δημιουργήθηκε στις 9 Ιουνίου 2020.

Αυτό περιλαμβάνει και μια premium συνδρομή που πωλείται σε πολύ χαμηλές τιμές (30 δολάρια) με πρόσθετες δυνατότητες, όπως η λήψη screenshot, η κλοπή εικόνων, η σύλληψη clipboard content και η καταγραφή keystroke.

Σε μια περαιτέρω προσπάθεια να γίνει πιο προσιτή σε άλλους εγκληματίες, η δωρεάν έκδοση του DogeRAT έχει διατεθεί στο GitHub, μαζί με screenshot και εκπαιδευτικά βίντεο που παρουσιάζουν τις λειτουργίες του.

“Δεν υποστηρίζουμε καμία παράνομη ή ανήθικη χρήση αυτού του εργαλείου”, δηλώνει ο προγραμματιστής στο αρχείο README.md του repository. “Ο χρήστης αναλαμβάνει όλη την ευθύνη για τη χρήση αυτού του λογισμικού.”

Κατά την εγκατάσταση, το κακόβουλο λογισμικό που βασίζεται σε Java ζητά διεισδυτικά δικαιώματα προκειμένου να εκτελέσει τους στόχους συλλογής δεδομένων πριν από τη διαρροή τους σε ένα bot του Telegram.

“Αυτή η καμπάνια είναι μια έντονη υπενθύμιση του οικονομικού κινήτρου που οδηγεί τους απατεώνες να εξελίσσουν συνεχώς τις τακτικές τους”, δήλωσε ο ερευνητής του CloudSEK Anshuman Das.

“Δεν περιορίζονται μόνο στη δημιουργία ιστότοπων ηλεκτρονικού “ψαρέματος” αλλά και στη διανομή τροποποιημένων RAT ή στην επαναχρησιμοποίηση κακόβουλων εφαρμογών για την εκτέλεση καμπανιών απάτης που είναι χαμηλού κόστους και εύκολο να ρυθμιστούν, αλλά αποφέρουν υψηλές αποδόσεις.”

Τα ευρήματα έρχονται καθώς η Mandiant, που ανήκει στην Google, παρουσίασε λεπτομερώς ένα νέο Android backdoor με την ονομασία LEMONJUICE, το οποίο έχει σχεδιαστεί για να επιτρέπει τον απομακρυσμένο έλεγχο και την πρόσβαση σε μια παραβιασμένη συσκευή.

“Το κακόβουλο λογισμικό έχει τη δυνατότητα να παρακολουθεί την τοποθεσία της συσκευής, να καταγράφει το μικρόφωνο, να ανακτά λίστες επαφών, να έχει πρόσβαση σε αρχεία καταγραφής κλήσεων, SMS, πρόχειρο και ειδοποιήσεων, προβολή εγκατεστημένων εφαρμογών, λήψη και αποστολή αρχείων, προβολή κατάστασης συνδεσιμότητας και εκτέλεση πρόσθετων εντολών από τον διακομιστή C2”, είπε ο ερευνητής Jared Wilson.

Σε μια σχετική εξέλιξη, η Doctor Web αποκάλυψε πάνω από 100 εφαρμογές που περιείχαν ένα spyware component με την ονομασία SpinOk – είχαν συνολικά κατέβει περισσότερες από 421 εκατομμύρια φορές μέσω του Google Play Store.

Το module, το οποίο διανέμεται ως κιτ ανάπτυξης λογισμικού μάρκετινγκ (SDK), έχει σχεδιαστεί για να συλλέγει ευαίσθητες πληροφορίες που είναι αποθηκευμένες στις συσκευές και να αντιγράφει και να αντικαθιστά τα περιεχόμενα του clipboard.

Μερικές από τις πιο δημοφιλείς εφαρμογές που έχουν βρεθεί ότι περιέχουν το trojan SpinOk είναι οι Noizz, Zapya, VFly, MVBit, Biugo, Crazy Drop, Cashzine, Fizzo Novel, CashEM και Tick.

Πηγή πληροφοριών: thehackernews.com