
Выявлена новая угроза для устройств Android – вредоносное ПО «AndroRAT»
Эксперты по кибербезопасности сообщили об обнаружении новой версии вредоносного программного обеспечения для Android – AndroRAT. Этот вредоносный инструмент предназначен для кражи графических ключей, PIN-кодов и паролей пользователей, что угрожает безопасности их личных данных.
Хотя AndroRAT изначально был представлен в 2012 году как университетский проект с открытым кодом, сегодня он превратился в опасное оружие, используемое злоумышленниками. Наибольшую тревогу вызывает то, что этот вирус способен обходить системы безопасности устройств на базе Android вплоть до версии 15.
Специалисты в области кибербезопасности отмечают значительное усложнение структуры и методов атаки AndroRAT. В частности, это вредоносное ПО использует уязвимость CVE-2015-1805, которая была обнаружена в ядре Linux и исправлена в 2016 году. Однако миллионы устаревших устройств Android до сих пор остаются уязвимыми.
AndroRAT заражает устройство в несколько этапов:
1️⃣ Загрузка вредоносного приложения – На первом этапе вредоносное ПО распространяется через фальшивое приложение TrashCleaner, загружаемое из сторонних магазинов и через фишинговые кампании.
2️⃣ Второй этап инфицирования – После установки вирус маскируется под приложение «Калькулятор», продолжая скрытное выполнение вредоносных операций.
3️⃣ Взлом системы – AndroRAT использует привилегии system_server и впрыскивает вредоносный код в процесс com.android.settings, получая расширенные права доступа.
Основные угрозы AndroRAT
🔹 Кража графических ключей и паролей – AndroRAT атакует файлы /data/system/gesture.key и locksettings.db3, содержащие хэши (SHA-1) кодов разблокировки. После взлома вредоносное ПО извлекает эти данные с помощью ADB pull и расшифровывает их с помощью инструментов, таких как LockKnife, применяя словарные атаки (rockyou.txt) или перебор кодов (brute-force).
🔹 Обход экранной блокировки – Используя команды input tap и input swipe, AndroRAT автоматически вводит PIN-коды или графические ключи для разблокировки устройства без ведома пользователя.
🔹 Инъекция в память – Вредонос использует уязвимости ptrace() в библиотеке Bionic libc Android, внедряя код в легитимные процессы, такие как com.google.android.gms, что позволяет ему скрываться от Google Play Protect.
🔹 Кража конфиденциальных данных – AndroRAT записывает нажатия клавиш через /dev/input/event*, фиксируя даже зашифрованные сообщения в мессенджерах.
🔹 Сохранение связи с сервером C2 – Вредонос использует алгоритм генерации доменов (DGA) на основе IMEI устройства для обхода блокировок основных командных серверов.
📌 Рекомендации для организаций и пользователей:
🔸 Блокировка – Ограничьте доступ к IP-диапазонам 185.130.104.[0-255] и 194.87.92.[0-255], связанным с C2-серверами AndroRAT.
🔸 Политики безопасности SELinux – Ограничьте доступ непроверенных приложений к файлу gesture.key.
🔸 Мониторинг подозрительной активности – Контролируйте аномальные SQL-запросы к locksettings.db, что может указывать на попытки кражи учетных данных.
🔸 Анализ оперативной памяти – Используйте инструменты Volatility для проверки процесса com.android.server.locksettings.
🔸 Проверка APK-файлов – Будьте осторожны с приложениями, запрашивающими разрешение REQUEST_COMPANION_START_FOREGROUND_SERVICES_FROM_BACKGROUND, так как это явный признак заражения AndroRAT.
🔴 Несмотря на то, что AndroRAT существует с 2012 года, в 2025 году он получил серьезные обновления, став одной из самых опасных угроз для пользователей Android.
🔴 Последняя версия вредоноса содержит кодовые фрагменты от Dendroid и OmniRAT, что указывает на его использование киберпреступниками из Восточной Европы и Юго-Восточной Азии.
🔴 Поскольку Android 15 усилил защиту системы Gatekeeper, злоумышленники начали применять методы социальной инженерии, маскируя вредонос под «чистящие» приложения, такие как TrashCleaner.
🔴 С января 2025 года было зарегистрировано более 12 000 зараженных устройств.
📢 Совет: загружайте приложения только из Google Play, регулярно обновляйте систему безопасности и используйте двухфакторную аутентификацию!
🛡 Кибербезопасность – это постоянная борьба. Следуйте рекомендациям и защищайте свои устройства от вредоносных программ! 🔐