RAT-вредоносы атакуют Android

Рынок RAT (Remote Access Tools) уже давно развивается и пользуется спросом у хакеров, организующих как индивидуальные, так и корпоративные атаки. Такие решения были в свое время использованы для атаки на неправительственные организации, политические партии или просто для перехвата данных с веб-камер. Однако до сих пор пользователи смартфонов оставались вне поля зрения авторов RAT.

Впрочем, сейчас ситуация меняется. Антивирусная компания Symantec сообщает о росте рынка RAT для операционной системы Android. Так, новый код Androrat представляет собой средство удаленного администрирования, дающее атакующему полный контроль над устройством на базе Android.

Первая версия Androrat появилась в ноябре 2012 года, тогда же был опубликован исходный код этого решения. Код упаковывается в стандартное для Android APK-приложение. После попадания на смартфон Androrat устанавливается на устройстве как системный сервис и стартует при каждом запуске устройства или работает как «активное» приложение. После того, как Androrat установлен в системе, пользователю уже не приходится взаимодействовать с кодом — программа работает автономно.

Она способна снимать все системные журналы, данные контакт-листа, все SMS-сообщения, перехватывать фото с камеры, а также сообщать о входящих и исходящих звонках, передавая различные данные на сервер оператора вредоноса. Также вредонос может передавать «тосты» (сообщения от приложений на экран), отправлять звонки и текстовые сообщения.

Недавно на ряде форумов и площадок, где производится торговля malware, появилась версия Androrat, оснащенная встроенным биндером, который позволяет подключать Androrat к легитимным программам, чтобы обретать дополнительную легитимную оболочку для проникновения в систему. Код может быть встроен в том числе и в коммерческие решения, такие как Adwind для работы на разных ОС.