I ricercatori di Check Point hanno scoperto un Trojan di accesso remoto Android, denominato Rogue, che può ottenere il controllo sul dispositivo host ed esfiltrare qualsiasi tipo di dati, come foto, posizione, contatti e messaggi, per modificare i file sul dispositivo e scaricare ulteriori payload dannosi.

Rogue è un nuovo RAT mobile che, una volta ottenute con successo le autorizzazioni richieste sul dispositivo di destinazione, nasconderà la propria icona all’utente in modo tale da garantirne che non sarà facile sbarazzarsene, mentre se non vengono concesse tutte le autorizzazioni richieste, chiederà ripetutamente all’utente di concederle.

Il malware si registra quindi come amministratore del dispositivo. Se l’utente tenta di revocare l’autorizzazione di amministratore, verrà visualizzato un messaggio sullo schermo progettato per spaventare l’utente: “Sei sicuro di cancellare tutti i dati?”

Rogue sfrutta i servizi della piattaforma Firebase, un servizio Google per app, per nascondere le proprie intenzioni dannose e mascherarsi da servizio Google legittimo. Il malware utilizza i servizi di Firebase come server C&C (comando e controllo), in modo che tutti i comandi che controllano il malware e tutte le informazioni rubate dal malware vengano consegnati utilizzando l’infrastruttura di Firebase.

Il malware Rogue utilizza i seguenti servizi:

  • “Cloud Messaging” per ricevere comandi da C&C.
  • “Database in tempo reale” per caricare i dati dal dispositivo.
  • “Cloud Firestore” per caricare i file.

“In questa ricerca, CPR ha scoperto un mercato completamente attivo che vende malware mobile dannoso, che vive e prospera sulla dark net e altri forum web correlati. La storia del malware Rogue è un esempio di come i dispositivi mobili possono essere sfruttati”, concludono i ricercatori di Check Point.

 

https://blog.checkpoint.com/2021/01/12/going-rogue-a-mastermind-behind-android-malware-returns-with-a-new-rat/

Twitter
Visit Us
LinkedIn
Share
YOUTUBE