Rogue RAT

Le marché des cybercriminels sur le Dark Web continue d'évoluer, et la même chose peut être observée avec les outils malveillants proposés. Même les escrocs aux connaissances techniques extrêmement limitées peuvent désormais acheter une menace malveillante sophistiquée à des prix extrêmement bas au lieu d'avoir à investir une somme importante, comme cela a été le cas le plus courant auparavant. En effet, les chercheurs d'Infosec ont découvert qu'un puissant RAT (Remote Access Trojan) appelé Rogue est vendu sur des forums de hackers clandestins pour moins de 30 $.

L'analyse du code sous-jacent de Rogue RAT a révélé que la menace n'est pas tant une création unique qu'une combinaison de deux familles Android RAT déjà établies. En empruntant aux familles Cosmo et Hawkshaw, les responsables de Rogue RAT ont créé une menace avec un vaste éventail de fonctionnalités nuisibles. Lorsqu'il est entièrement déployé sur l'appareil Android d'un utilisateur, le RAT lance un processus d'enregistrement de frappe lui permettant de récolter les informations de connexion au site Web, les noms d'utilisateur et les mots de passe des applications et, plus important encore, les coordonnées bancaires. Rogue propose un kit d'espionnage complet de fonctions à ses opérateurs - ils peuvent suivre la position GPS de l'appareil compromis, prendre des captures d'écran et des photos arbitraires via l'appareil photo de l'appareil, enregistrer du son et bien plus encore.

Cependant, pour pouvoir exécuter ses opérations menaçantes, Rogue RAT demande d'abord à l'utilisateur de lui accorder les autorisations requises. En cas de refus, le RAT continuera à harceler l'utilisateur avec des fenêtres contextuelles demandant des autorisations jusqu'à ce que la demande soit finalement acceptée. Rogue s'enregistrera immédiatement en tant qu'administrateur de l'appareil et supprimera son icône de l'écran de l'appareil. Pour maintenir ses capacités, la menace du logiciel malveillant utilise une tactique commune - essayer de faire peur à l'utilisateur et de le laisser seul - si la victime tente de révoquer manuellement les droits obtenus par la menace, un message posant la question alarmante de "Êtes-vous sûr d'effacer toutes les données?" émergera. Rogue RAT exploite le service Firebase de Google pour les applications afin d'augmenter ses chances de rester caché et d'éviter d'être détecté par les solutions anti-malware, ce qui lui permet de se faire passer pour une application légitime.

Le vecteur d'attaque initial utilisé dans la distribution de Rogue RAT dépend du client cybercriminel spécifique. Ils peuvent choisir de mettre en place une campagne de phishing livrant des e-mails avec des pièces jointes compromises, d'injecter le RAT dans de fausses applications, d'essayer de tromper les utilisateurs pour les télécharger, ou une autre méthode qu'ils ont choisie.