Перейти к содержимому

Выявлена новая угроза для устройств Android – вредоносное ПО «AndroRAT»

Эксперты по кибербезопасности сообщили об обнаружении новой версии вредоносного программного обеспечения для Android – AndroRAT. Этот вредоносный инструмент предназначен для кражи графических ключей, PIN-кодов и паролей пользователей, что угрожает безопасности их личных данных.

Хотя AndroRAT изначально был представлен в 2012 году как университетский проект с открытым кодом, сегодня он превратился в опасное оружие, используемое злоумышленниками. Наибольшую тревогу вызывает то, что этот вирус способен обходить системы безопасности устройств на базе Android вплоть до версии 15.

Специалисты в области кибербезопасности отмечают значительное усложнение структуры и методов атаки AndroRAT. В частности, это вредоносное ПО использует уязвимость CVE-2015-1805, которая была обнаружена в ядре Linux и исправлена в 2016 году. Однако миллионы устаревших устройств Android до сих пор остаются уязвимыми.

AndroRAT заражает устройство в несколько этапов:

1️⃣ Загрузка вредоносного приложения – На первом этапе вредоносное ПО распространяется через фальшивое приложение TrashCleaner, загружаемое из сторонних магазинов и через фишинговые кампании.

2️⃣ Второй этап инфицирования – После установки вирус маскируется под приложение «Калькулятор», продолжая скрытное выполнение вредоносных операций.

3️⃣ Взлом системы – AndroRAT использует привилегии system_server и впрыскивает вредоносный код в процесс com.android.settings, получая расширенные права доступа.

Основные угрозы AndroRAT

🔹 Кража графических ключей и паролей – AndroRAT атакует файлы /data/system/gesture.key и locksettings.db3, содержащие хэши (SHA-1) кодов разблокировки. После взлома вредоносное ПО извлекает эти данные с помощью ADB pull и расшифровывает их с помощью инструментов, таких как LockKnife, применяя словарные атаки (rockyou.txt) или перебор кодов (brute-force).

🔹 Обход экранной блокировки – Используя команды input tap и input swipe, AndroRAT автоматически вводит PIN-коды или графические ключи для разблокировки устройства без ведома пользователя.

🔹 Инъекция в память – Вредонос использует уязвимости ptrace() в библиотеке Bionic libc Android, внедряя код в легитимные процессы, такие как com.google.android.gms, что позволяет ему скрываться от Google Play Protect.

🔹 Кража конфиденциальных данных – AndroRAT записывает нажатия клавиш через /dev/input/event*, фиксируя даже зашифрованные сообщения в мессенджерах.

🔹 Сохранение связи с сервером C2 – Вредонос использует алгоритм генерации доменов (DGA) на основе IMEI устройства для обхода блокировок основных командных серверов.

📌 Рекомендации для организаций и пользователей:

🔸 Блокировка – Ограничьте доступ к IP-диапазонам 185.130.104.[0-255] и 194.87.92.[0-255], связанным с C2-серверами AndroRAT.

🔸 Политики безопасности SELinux – Ограничьте доступ непроверенных приложений к файлу gesture.key.

🔸 Мониторинг подозрительной активности – Контролируйте аномальные SQL-запросы к locksettings.db, что может указывать на попытки кражи учетных данных.

🔸 Анализ оперативной памяти – Используйте инструменты Volatility для проверки процесса com.android.server.locksettings.

🔸 Проверка APK-файлов – Будьте осторожны с приложениями, запрашивающими разрешение REQUEST_COMPANION_START_FOREGROUND_SERVICES_FROM_BACKGROUND, так как это явный признак заражения AndroRAT.

🔴 Несмотря на то, что AndroRAT существует с 2012 года, в 2025 году он получил серьезные обновления, став одной из самых опасных угроз для пользователей Android.

🔴 Последняя версия вредоноса содержит кодовые фрагменты от Dendroid и OmniRAT, что указывает на его использование киберпреступниками из Восточной Европы и Юго-Восточной Азии.

🔴 Поскольку Android 15 усилил защиту системы Gatekeeper, злоумышленники начали применять методы социальной инженерии, маскируя вредонос под «чистящие» приложения, такие как TrashCleaner.

🔴 С января 2025 года было зарегистрировано более 12 000 зараженных устройств.

📢 Совет: загружайте приложения только из Google Play, регулярно обновляйте систему безопасности и используйте двухфакторную аутентификацию!

🛡 Кибербезопасность – это постоянная борьба. Следуйте рекомендациям и защищайте свои устройства от вредоносных программ! 🔐