Gli sviluppatori si rivolgono al crimeware e rilasciano DroidJack RAT dopo il fallimento della loro app Android

Table Of Contents

• Gli sviluppatori si rivolgono al crimeware e rilasciano DroidJack RAT dopo il fallimento della loro app Android
• Radici legittime
• Radici indiane rintracciate
• Capacità
• Altri casi

Gli sviluppatori si rivolgono al crimeware e rilasciano DroidJack RAT dopo il fallimento della loro app Android

I ricercatori di Symantec hanno analizzato un nuovo strumento di accesso remoto (RAT) per Android chiamato DroidJack, che potrebbe essere iniziato come un’app nel Google Play Store. Gli sviluppatori che Symantec ha rintracciato in India erano apparentemente delusi dal fallimento dell’app Google. Il fallimento li ha spinti nel mondo involontario del crimeware e ha trasformato l’app in uno strumento per i criminali informatici.

Radici legittime

I ricercatori di Symantec hanno monitorato l’evoluzione della minaccia, che è stata rilasciata per la prima volta nell’aprile 2013 su Google Play come Sandroid, un’applicazione legittima per controllare i PC da uno smartphone Android. Ma l’app apparentemente non ha catturato l’interesse degli utenti Android ed è svanita nell’oscurità. Alla fine di dicembre dello scorso anno, gli utenti hanno diffuso notizie sulla disponibilità di uno strumento RAT su un forum di hacker. Questo strumento identificato come SandroRAT McAfee è stato pubblicizzato come un’applicazione Android che poteva essere utilizzata per prendere il controllo degli smartphone da un computer. Il SandroRAT era in realtà uno strumento di accesso remoto Android completo che mirava agli utenti bancari attraverso email di phishing e rubava le loro credenziali. L’annuncio reindirizzava l’utente all’app nel Play Store. Questa app è stata scrutinata dai ricercatori quando ha iniziato a essere diffusa tramite spam a nome di un’applicazione di sicurezza Kaspersky. SandroRAT ha infettato molti utenti in Europa, specialmente in Polonia, prima di essere portato all’attenzione di tutti gli interessati e rimosso. Tuttavia, SandroRAT è lontano dall’essere morto e sepolto.

Secondo Symantec, DroidJack (rilevato dall’azienda come Android.Sandorat) è l’ultima versione del SandroRAT. È stato annunciato il 27 giugno 2014 sullo stesso forum di hacker e dallo stesso individuo che ha offerto di vendere SandroRAT. DroidJack è venduto sul suo sito web per $210, il costo di un pacchetto a vita.

Radici indiane rintracciate

I ricercatori hanno analizzato il collegamento tra DroidJack, SandroRAT e l’applicazione Sandroid e hanno rintracciato i loro sviluppatori in India. “Se l’autore o gli autori di DroidJack intendevano coprire le loro tracce, non hanno fatto un buon lavoro. Alcune semplici indagini portano ai nomi e ai numeri di telefono di diversi individui inizialmente coinvolti nella creazione di Sandroid, presumibilmente basati a Chennai in India,” ha scritto Peter Coogan di Symantec in un post sul blog.

Aggiungendo benzina sul fuoco, c’è un video promozionale dello strumento che mostra il GPS puntato verso una posizione popolare in India. Tuttavia, gli esperti notano anche che potrebbe non esserci alcun collegamento reale tra il RAT e Sandroid, tranne la somiglianza nel nome. DroidJack è un RAT sofisticato che funziona senza bisogno di accesso root e può essere impacchettato con qualsiasi gioco o applicazione legittima. Lo strumento può essere utilizzato per raccogliere principalmente dettagli bancari sul dispositivo compromesso, installare APK, copiare file su un computer, visualizzare messaggi, ascoltare telefonate, elencare contatti, registrare audio e video tramite il microfono e la fotocamera e ottenere la posizione GPS del telefono.

Capacità

DroidJack ha caratteristiche simili ad altri RAT Android, come AndroRAT e Dendroid. Alcune delle oltre 50 funzionalità offerte includono le seguenti:

Nessun accesso root richiesto
Collegare l’APK del server DroidJack con qualsiasi altro gioco o app
Installare qualsiasi APK e aggiornare il server
Copiare file dal dispositivo al computer
Visualizzare tutti i messaggi sul dispositivo
Ascoltare le conversazioni telefoniche effettuate sul dispositivo
Elencare tutti i contatti sul dispositivo
Ascoltare in diretta o registrare audio dal microfono del dispositivo
Prendere il controllo della fotocamera del dispositivo
Ottenere numero IMEI, indirizzo MAC Wi-Fi e dettagli dell’operatore telefonico
Ottenere l’ultima posizione GPS del dispositivo e mostrarla su Google Maps

Gli sviluppatori di DroidJack hanno incluso un disclaimer sul loro sito web affermando che non incoraggiano l’uso dell’applicazione per scopi illegittimi, ma questa tattica non funziona davvero.

Altri casi

Nel settembre di quest’anno, il creatore di StealthGenie è stato incriminato negli Stati Uniti. Il creatore – un cittadino pakistano – ha pubblicizzato l’app come un mezzo per spiare coniugi infedeli. Successivamente, l’hanno cambiata in uno strumento di monitoraggio parentale affermando che gli utenti devono ottenere il permesso scritto dalla persona target.

Le agenzie di law enforcement di tutto il mondo sono coinvolte in operazioni mirate ai RAT. A maggio, 100 persone sono state arrestate come parte di raid globali mirati agli utenti del RAT BlackShades.