Разработчики обращаются к криминальному ПО и выпускают DroidJack RAT после неудачи своего Android-приложения

Table Of Contents

• Разработчики обращаются к криминальному ПО и выпускают DroidJack RAT после неудачи своего Android-приложения
• Законные корни
• Индийские корни прослежены
• Возможности
• Другие случаи

Разработчики обращаются к криминальному ПО и выпускают DroidJack RAT после неудачи своего Android-приложения

Исследователи компании Symantec анализируют новый инструмент удаленного доступа (RAT) для Android под названием DroidJack, который, возможно, начинался как приложение в магазине Google Play. Разработчики, которых Symantec проследила до Индии, очевидно, были разочарованы неудачей приложения Google. Неудача подтолкнула их в непреднамеренный мир криминального ПО и превратила приложение в инструмент для киберпреступников.

Законные корни

Исследователи компании Symantec следят за эволюцией угрозы, которая была впервые выпущена в апреле 2013 года в Google Play как Sandroid, законное приложение для управления ПК с Android-смартфона. Но приложение, очевидно, не привлекло интереса пользователей Android и исчезло в небытие. В конце декабря прошлого года пользователи распространили новости о доступности инструмента RAT на хакерском форуме. Этот инструмент, идентифицированный как SandroRAT McAfee, рекламировался как Android-приложение, которое можно использовать для управления смартфонами с компьютера. SandroRAT на самом деле был полноценным инструментом удаленного доступа для Android, который нацеливался на банковских пользователей через фишинговую почту и крал их учетные данные. Реклама перенаправляла пользователя на приложение в Play Store. Это приложение было подвергнуто scrutiny исследователей, когда оно начало распространяться через спам под именем приложения безопасности Kaspersky. SandroRAT заразил многих пользователей в Европе, особенно в Польше, прежде чем это было доведено до сведения всех заинтересованных и удалено. Однако SandroRAT далеко не мертв и похоронен.

Согласно Symantec, DroidJack (обнаруженный компанией как Android.Sandorat) является последней версией SandroRAT. Он был анонсирован 27 июня 2014 года на том же хакерском форуме и тем же лицом, которое предложило продать SandroRAT. DroidJack продается на своем собственном сайте за 210 долларов, стоимость пожизненного пакета.

Индийские корни прослежены

Исследователи проанализировали связь между DroidJack, SandroRAT и приложением Sandroid и проследили их разработчиков до Индии. “Если автор или авторы DroidJack хотели скрыть свои следы, им это не удалось. Некоторые простые расследования приводят к именам и номерам телефонов нескольких лиц, изначально участвовавших в создании Sandroid, предположительно базирующихся в Ченнаи, Индия,” написал Питер Куган из Symantec в блоге.

Добавляя масла в огонь, является рекламное видео инструмента, которое показывает GPS, указывающий на популярное место в Индии. Однако эксперты также отмечают, что между RAT и Sandroid может не быть реальной связи, кроме схожести названий. DroidJack является сложным RAT, который работает без необходимости получения root-доступа, и его можно упаковать с любой законной игрой или приложением. Инструмент может использоваться для сбора в основном банковских данных на скомпрометированном устройстве, установки APK, копирования файлов на компьютер, просмотра сообщений, прослушивания телефонных звонков, перечисления контактов, записи аудио и видео через микрофон и камеру, а также получения GPS-локации телефона.

Возможности

DroidJack имеет аналогичные функции с другими Android RAT, такими как AndroRAT и Dendroid. Некоторые из более чем 50 предлагаемых функций включают следующее:

Не требуется root-доступ Связывание APK сервера DroidJack с любой другой игрой или приложением Установка любого APK и обновление сервера Копирование файлов с устройства на компьютер Просмотр всех сообщений на устройстве Прослушивание телефонных разговоров, сделанных на устройстве Перечисление всех контактов на устройстве Прослушивание в реальном времени или запись аудио с микрофона устройства Получение контроля над камерой устройства Получение номера IMEI, MAC-адреса Wi-Fi и данных оператора сотовой связи Получение последней GPS-локации устройства и отображение ее на Google Maps

Разработчики DroidJack включили отказ от ответственности на своем сайте, утверждая, что они не поощряют использование приложения для незаконных целей, но эта тактика не работает.

Другие случаи

В сентябре этого года создатель StealthGenie был обвинен в США. Создатель – гражданин Пакистана – рекламировал приложение как средство шпионить за изменяющими супругами. Позже они изменили его на инструмент родительского контроля, утверждая, что пользователи должны получить письменное разрешение от целевого лица.

Правоохранительные органы со всего мира участвуют в операциях, нацеленных на RAT. В мае 100 человек были арестованы в рамках глобальных рейдов, нацеленных на пользователей RAT BlackShades.