Che cos'è un RAT ? Ed in particolare che cos'è il ViperRat che ha preso di mira i dispositivi Android delle Forze di difesa israeliane (IDF) impegnati a Gaza ?
- texservice13
- 21 ott 2024
- Tempo di lettura: 2 min
Aggiornamento: 13 gen
Prima di tutto che cos'è un RAT ?
Un RAT (Remote Access Trojan), è un malware che si può scaricare da Internet o che viene installato sul computer della vittima a sua insaputa, ad esempio sotto forma di un'applicazione o di un gioco o di un utility, o ancora può essere ricevuto come allegato di una email e scaricato inconsapevolmente.
ViperRAT è stato identificato per la prima volta nel luglio 2015, prendendo di mira i dispositivi Android di oltre 100 militari israeliani delle Forze di difesa israeliane (IDF).
ViperRAT consente all'aggressore di accedere a dati generali sul dispositivo, messaggi SMS, database WhatsApp e chiavi di crittografia, cronologie di navigazione e ricerca, documenti e archivi trovati in memoria e foto scattate. Cattura automaticamente durante una chiamata, afferra l'elenco dei contatti e i registri delle chiamate, registra chiamate e intercettazioni e può aggiornarsi. Infetta il dispositivo della vittima tramite tattiche di ingegneria sociale, utilizzando i social network per costringere la vittima a condividere informazioni riservate e scaricare l'applicazione dannosa.
Per esempio : gli aggressori si spacciano per giovani donne e instaurano un rapporto con la vittima, quindi le chiedono di installare un'app per una migliore comunicazione. L'app, però, è una versione "armata" di un'applicazione apparentemente legittima.
L'applicazione installa un programma che scarica software (c.d. dropper) come un normale APK, di cui però chiede i permessi e quindi il dropper scarica un payload (un software personalizzato che esegue azioni malaware) basato sulle app esistenti dell'utente, fingendo di aggiornarne una.
Il payload riceve comandi dal server dell'aggressore e invia i risultati a un server clonato di appoggio controllato dall'hacker.
Il ViperRat però è molto complesso da rilevare in quanto parte del codice è scritto in assembler a livello 2 (il livello 1 corrisponde bit di 1 e 0, tanto per intenderci) ed il payload viene creato ed eseguito on fly (al volo su richiesta dell'attaccante) solo al momento dell'esecuzione richiesta in remoto. Quindi, non è, come dire, una firma, che l'antivirus può riscontrare in un file in un altro momento se non quando viene eseguito il payload.
Comentarios