סימנטק זיהתה כלי התקפה חדש עם גישה מרחוק לאנדרואיד
מדובר בכלי בשם AndroRAT, שמאפשר לתוקף מרחוק לשלוט במכשיר הנגוע באמצעות לוח בקרה ידידותי למשתמש ● הכלי מאפשר לתוקף בעל ניסיון מועט לבצע בקלות אוטומטיזציה של תהליך ההדבקה של יישומי אנדרואיד לגיטימיים עם ה-AndroRAT, ובכך להפוך אותם לסוסים טרויאניים ● עד כה גילתה סימנטק כמה מאות הדבקות כאלה ברחבי העולם, בעיקר בארצות הברית ובטורקיה
סימנטק (Symantec) זיהתה באחרונה סוג חדש של מתקפה שבמסגרתה מוחדר לאנדרואיד (Android) קוד זדוני שכולל כלי לגישה מרחוק (RAT – ר"ת Remote Access Tool), בג'אווה (Java).
על פי ענקית האבטחה, "מסתבר שפושעי סייבר מכוונים את התקפותיהם להחדרת כלי RAT לאנדרואיד במכשירים ניידים, בהיותה מערכת הפעלה פופולרית מאוד ברחבי העולם".
כבר יותר משנה מציעים פורומים מחתרתיים ברשת כלי RAT חינמיים לאנדרואיד, שמכונים AndroRAT. כעת נוצרו הכלים הראשונים (Binders) שמאפשרים למשתמשים לארוז בקלות מחדש ולהפוך יישומי אנדרואיד לגיטימיים לסוסים טרויאניים, בעזרת ה-AndroRAT.
כמו כלי RAT אחרים, ה-AndroRAT מאפשר לתוקף מרחוק לשלוט במכשיר הנגוע באמצעות לוח בקרה ידידותי למשתמש. למשל, כאשר הוא פועל על מכשיר, ה-AndroRAT יכול לנטר ולבצע שיחות טלפון, לשלוח הודעות טקסט, להשיג את קואורדינטות ה-GPS של המכשיר, להפעיל ולהשתמש במצלמה ובמיקרופון, ולגשת לקבצים השמורים על המכשיר.
ה-RAT מגיע בצורה של קובץ APK (חבילת יישום אנדרואיד), שהוא פורמט היישומים הסטנדרטי של מערכת ההפעלה מבית גוגל (Google). כאשר משתמשים בו בשילוב עם ה-Binder המכונה AndroRAT APK, הוא מאפשר לתוקף בעל ניסיון מועט לבצע בקלות אוטומטיזציה של תהליך ההדבקה של יישומי אנדרואיד לגיטימיים עם ה-AndroRAT ובכך להפוך אותם לסוסים טרויאניים. כשהגרסה הטרויאנית של היישום הלגיטימי מותקנת על המכשיר, המשתמש מתקין בלא ידיעתו את ה-AndroRAT יחד עם היישום הלגיטימי אותו התכוון להתקין. כך מתאפשר לתוקף לעקוף אלמנטים של מודל האבטחה של אנדרואיד באמצעות הונאה. עד עתה, סימנטק זיהתה 23 מקרים כאלה.
כמו כן זיהתה סימנטק כלי לגישה מרחוק עבור ג'אווה המכונה Adwind. הכלי תומך בכמה מערכות הפעלה ונראה שהוא מצוי בתהליך שילוב מודול לאנדרואיד המבוסס על קוד המקור הפתוח של AndroRAT. ה-RAT הזה כולל גם מממשק משתמש גרפי שמאפשר לתוקפים לנהל ולשלוט בו מרחוק.
מסימנטק נמסר, כי ייתכן שיוצרי Adwind עושים התאמה לכלי ה-AndroRAT כדי לשלב אותו בתוך Adwind. "התפתחות זו אינה מפתיעה, שכן טבעו של קוד המקור הפתוח של קוד ה-AndroRAT מוביל לכך שיהיה ניתן להתאימו בקלות אל תוך איומים וכלים חדשים", על פי החברה.
ענקית האבטחה עלתה על עקבותיהן של כמה מאות הדבקות ב-AndroRAT ברחבי העולם, כאשר מרבית המתקפות התמקדו בארצות הברית ובטורקיה. עם זאת, חלה באחרונה עלייה בהדבקות ובסימנטק צופים, כי זו תימשך כל עוד הזמינות והתחכום של כלי ה-AndroRAT יתגברו.
תגובות
(0)