Рынок программ класса RAT (Remote Access Tools) уже давно развивается и пользуется спросом у хакеров, организующих как индивидуальные, так и корпоративные атаки. Такие решения были в свое время использованы для атаки на неправительственные организации, политические партии или просто для перехвата данных с веб-камер. Однако до сих пор пользователи смартфонов оставались вне поля зрения авторов RAT.
Впрочем, сейчас ситуация меняется. Антивирусная компания Symantec сообщает о росте рынка RAT для операционной системы Android. Новый код Androrat представляет собой средство удаленного администрирования, дающее атакующему полный контроль над устройством на базе Android.
Первая версия Androrat появилась в ноябре 2012 г., тогда же на GitHub был опубликован исходный код этого решения. Код упаковывается в стандартное для Android APK-приложение. После попадания на смартфон Androrat устанавливается на устройстве как системный сервис и стартует при каждом запуске устройства или работает как “активное” приложение. После того, как Androrat установлен в системе, пользователю уже не приходится взаимодействовать с кодом – программа работает автономно.
Она способна снимать все системные журналы, данные контакт-листа, все SMS-сообщения, перехватывать фото с камеры, а также сообщать о входящих и исходящих звонках, передавая различные данные на сервер оператора вредоноса. Также вредонос может передавать “тосты” (сообщения от приложений на экран), отправлять звонки и текстовые сообщения.
Недавно на ряде черных площадок, где производится трейдинг вредоносными кодами, появилась версия Androrat, оснащенная встроенным биндером, который позволяет подключать Androrat к легитимным программам, чтобы обретать дополнительную легитимную оболочку для проникновения в систему. В Symantec говорят, что нашли как минимум 23 приложения для Android со встроенным Androrat. Код был встроен в том числе и в коммерческие решения, такие как Adwind для работы на разных ОС. (Новости/NovostIT)