Entwickler wenden sich an Crimeware und veröffentlichen DroidJack RAT, nachdem ihre Android-App gescheitert ist

Table Of Contents

• Entwickler wenden sich an Crimeware und veröffentlichen DroidJack RAT, nachdem ihre Android-App gescheitert ist
• Legitime Wurzeln
• Indische Wurzeln zurückverfolgt
• Fähigkeiten
• Weitere Fälle

Entwickler wenden sich an Crimeware und veröffentlichen DroidJack RAT, nachdem ihre Android-App gescheitert ist

Forscher von Symantec haben ein neues Remote Access Tool (RAT) für Android namens DroidJack analysiert, das möglicherweise als App im Google Play Store begann. Die Entwickler, die von Symantec nach Indien zurückverfolgt wurden, waren anscheinend enttäuscht über das Scheitern der Google-App. Das Scheitern trieb sie in die unbeabsichtigte Welt des Crimeware und verwandelte die App in ein Werkzeug für Cyberkriminelle.

Legitime Wurzeln

Forscher von Symantec haben die Entwicklung der Bedrohung überwacht, die erstmals im April 2013 im Google Play als Sandroid veröffentlicht wurde, einer legitimen Anwendung zur Steuerung von PCs von einem Android-Smartphone aus. Aber die App schien das Interesse der Android-Nutzer nicht zu wecken und geriet in Vergessenheit. Ende Dezember letzten Jahres verbreiteten Nutzer Nachrichten über die Verfügbarkeit eines RAT-Tools in einem Hackerforum. Dieses Tool, das als SandroRAT McAfee identifiziert wurde, wurde als Android-Anwendung beworben, die verwendet werden könnte, um Smartphones von einem Computer aus zu steuern. Der SandroRAT war tatsächlich ein vollwertiges Android-Remote-Access-Tool, das Banknutzer durch Phishing-E-Mails anvisierte und deren Anmeldedaten stahl. Die Anzeige leitete den Benutzer zur App im Play Store weiter. Diese App wurde von Forschern unter die Lupe genommen, als sie begann, über Spam im Namen einer Kaspersky-Sicherheitsanwendung verbreitet zu werden. SandroRAT infizierte viele Nutzer in Europa, insbesondere in Polen, bevor es zur Kenntnis aller Beteiligten gebracht und entfernt wurde. SandroRAT ist jedoch alles andere als tot und begraben.

Laut Symantec ist DroidJack (vom Unternehmen als Android.Sandorat erkannt) die neueste Version des SandroRAT. Es wurde am 27. Juni 2014 im selben Hackerforum und von derselben Person angekündigt, die SandroRAT zum Verkauf anbot. DroidJack wird auf seiner eigenen Website für 210 US-Dollar verkauft, die Kosten für ein Lebenszeitpaket.

Indische Wurzeln zurückverfolgt

Forscher haben die Verbindung zwischen DroidJack, SandroRAT und der Sandroid-Anwendung analysiert und ihre Entwickler nach Indien zurückverfolgt. „Wenn der Autor oder die Autoren von DroidJack versuchten, ihre Spuren zu verwischen, haben sie keine gute Arbeit geleistet. Einige einfache Ermittlungen führen zurück zu den Namen und Telefonnummern mehrerer Personen, die ursprünglich an der Erstellung von Sandroid beteiligt waren, angeblich aus Chennai in Indien“, schrieb Peter Coogan von Symantec in einem Blogbeitrag.

Ein weiteres Indiz ist ein Werbevideo des Tools, das das GPS auf einen beliebten Standort in Indien zeigt. Experten weisen jedoch auch darauf hin, dass es möglicherweise keine echte Verbindung zwischen dem RAT und Sandroid gibt, außer der Namensähnlichkeit. DroidJack ist ein ausgeklügeltes RAT, das ohne Root-Zugriff funktioniert und mit jedem legitimen Spiel oder jeder Anwendung verpackt werden kann. Das Tool kann hauptsächlich verwendet werden, um Bankdaten auf dem kompromittierten Gerät zu ernten, APKs zu installieren, Dateien auf einen Computer zu kopieren, Nachrichten zu lesen, Telefonanrufe abzuhören, Kontakte aufzulisten, Audio und Video über das Mikrofon und die Kamera aufzunehmen und den GPS-Standort des Telefons zu erhalten.

Fähigkeiten

DroidJack hat ähnliche Funktionen wie andere Android-RATs, wie AndroRAT und Dendroid. Einige der mehr als 50 angebotenen Funktionen umfassen Folgendes:

Kein Root-Zugriff erforderlich
Binden Sie die DroidJack-Server-APK mit jedem anderen Spiel oder jeder App
Installieren Sie jede APK und aktualisieren Sie den Server
Kopieren Sie Dateien vom Gerät auf den Computer
Alle Nachrichten auf dem Gerät anzeigen
Anrufgespräche, die auf dem Gerät getätigt werden, abhören
Alle Kontakte auf dem Gerät auflisten
Live zuhören oder Audio vom Mikrofon des Geräts aufnehmen
Die Kamera des Geräts steuern
IMEI-Nummer, Wi-Fi-MAC-Adresse und Mobilfunkanbieter-Details abrufen
Den letzten GPS-Standortcheck des Geräts abrufen und in Google Maps anzeigen

Die Entwickler von DroidJack haben auf ihrer Website einen Haftungsausschluss eingefügt, in dem sie behaupten, dass sie die Verwendung der Anwendung für illegitime Zwecke nicht unterstützen, aber diese Taktik funktioniert nicht wirklich.

Weitere Fälle

Im September dieses Jahres wurde der Schöpfer von StealthGenie in den USA angeklagt. Der Schöpfer – ein pakistanischer Staatsbürger – warb die App als Mittel an, um betrügerische Ehepartner auszuspionieren. Später änderten sie es zu einem Tool zur elterlichen Überwachung und behaupteten, dass die Nutzer die schriftliche Erlaubnis der betroffenen Person einholen müssten.

Strafverfolgungsbehörden aus der ganzen Welt sind an Operationen beteiligt, die auf RATs abzielen. Im Mai wurden 100 Personen im Rahmen globaler Razzien festgenommen, die sich gegen Nutzer des BlackShades RAT richteten.