OmniRAT

OmniRAT est un outil d'administration à distance dans la veine de DroidJack mais doté de capacités considérablement étendues. Alors que DroidJack était capable de prendre le contrôle uniquement des appareils Android, OmniRAT fonctionne sur les appareils Windows, Linux et Mac. Une autre différence était que si DroidJack vous obligerait à débourser jusqu'à 210 $, OmniRAT était disponible à un coût nettement inférieur de 25 ou 50 $, selon le niveau choisi par le client.

De par leur nature, les outils d'administration à distance ne sont pas menaçants; ils fournissent simplement aux utilisateurs les moyens d'accéder et d'exécuter des tâches sur leurs appareils à distance. Le problème est que de tels programmes peuvent être facilement appropriés par les pirates informatiques et réutilisés pour faire partie intégrante de leurs activités criminelles. En effet, même la version non modifiée d'OmniRAT pourrait exécuter des commandes, enregistrer de l'audio, énumérer les processus ou services en cours d'exécution sur l'appareil, accéder aux listes de contacts, passer des appels téléphoniques et envoyer des messages, accéder et supprimer l'historique de navigation, etc. le programme a été lancé, une campagne d'attaque par SMS délivrant une version personnalisée d'OmniRAT a été détectée.

La charge utile a été distribuée via des messages SMS affirmant que l'utilisateur ciblé avait reçu un MMS, mais elle n'a pas pu être envoyée directement en raison de la vulnérabilité Android StageFright. Un lien vers un site Web où les utilisateurs devaient saisir leurs numéros de téléphone et un numéro de code fourni dans le SMS a conduit au téléchargement et à l'installation d'un fichier APK contenant OmniRAT. L'application demande ensuite à recevoir diverses autorisations intrusives, ce qui n'est pas si différent du comportement des applications légitimes, et si cela réussit, les pirates se verront accorder un contrôle total sur l'appareil compromis. OmniRAT pourrait alors se propager davantage en envoyant des messages SMS depuis l'appareil vers les listes de contacts de l'utilisateur.

Bien que les auteurs d'OmniRAT aient déclaré sur le site officiel du programme qu'ils ne soutiennent aucune utilisation illicite de l'application et que la discrétion incombe uniquement aux clients, cela n'a pas aidé lorsqu'en 2019 la police allemande a fait une descente chez eux et a saisi leurs ordinateurs portables, ordinateurs. et les appareils mobiles. Le raid faisait très probablement partie de l'enquête sur une cyberattaque qui a eu lieu quelques mois auparavant. Ceci est similaire à l'opération de 2015 contre DroidJack.

Les pirates ont lancé une campagne contre les entreprises travaillant dans plusieurs secteurs. L'exploit initial utilisé pour compromettre les ordinateurs ciblés était une vulnérabilité d'exécution de code à distance avec la désignation CVE-2016-7262 dans Microsoft Excel. La feuille de calcul Excel empoisonnée a été conçue pour apparaître comme si elle avait été envoyée par la «Kuwait Petroleum Corporation (KPC)». La charge utile fournie était OmniRAT.