Skip to content

Android qurilmalariga tahdid solayotgan yangi «AndroRAT» nomli zararkunanda aniqlandi

Kiberxavfsizlik mutaxassislari Android operatsion tizimida zararli dasturiy ta’minotning yangi versiyasi – AndroRAT aniqlanganligini ma’lum qilishdi. Ushbu zararli dastur foydalanuvchilarning grafik kaliti (pattern), PIN-kodi va parollarini o‘g‘irlash orqali shaxsiy ma’lumotlarni buzishga mo‘ljallangan.

AndroRAT dastlab 2012-yilda ochiq kodli universitet loyihasi sifatida taqdim etilgan bo‘lsada, bugungi kunda bu vosita tajovuzkorlar tomonidan qurol sifatida ishlatilayotgan xavfli vositaga aylangan. Eng yomoni, ushbu zararli dastur Android 15 versiyasigacha bo‘lgan qurilmalarda xavfsizlik tizimlarini chetlab o‘tish qobiliyatiga ega.

Kiberxavfsizlik bo‘yicha tadqiqotchilar AndroRAT’ning bir nechta murakkab xususiyatlari va tahdid darajasi oshganligini qayd etishdi. Xususan, bu zararli dastur CVE-2015-1805 kabi zaifliklardan foydalanib, qurilmalarga hujum uyushtirishga mo‘ljallangan. Ushbu zaiflik Linux yadrosida aniqlangan bo‘lib, 2016-yilda tuzatish kiritilganiga qaramay, hanuzgacha yangilanmagan millionlab Android qurilmalarda mavjud.

Yangi hujum taktikasi

AndroRAT bir necha bosqichli zararlash jarayoni orqali qurilmaga joylashadi:

1️⃣ Zararli ilova yuklab olish: Dastlab, u TrashCleaner nomi ostida zararli ilova sifatida uchinchi tomon do‘konlari va phishing kampaniyalari orqali tarqatiladi.

2️⃣ Ikkinchi bosqich komponenti: Qurilmaga yuklangach, u kalkulyator ilovasi sifatida niqoblanib, keyingi bosqichdagi zararli yuklamalarni ishga tushiradi.

3️⃣ Tizimni buzish: AndroRAT system_server ruxsatlarini ekspluatatsiya qilib, com.android.settings jarayoniga zararli kod joylashtiradi.

AndroRAT ning asosiy xavfli jihatlari

🔹 Grafik kalit va parollarni o‘g‘irlash: AndroRAT /data/system/gesture.key va locksettings.db3 fayllarini nishonga olib, undagi SHA-1 algoritmi yordamida shifrlangan ma’lumotlarni o‘g‘irlash imkoniga ega. Buzib kirgach, u ADB buyruqlari orqali bu ma’lumotlarni chiqarib olib, LockKnife kabi vositalar yordamida brute-force yoki lug‘at usullari orqali ochib beradi.

🔹 Ekran interaksiyasini chetlab o‘tish: AndroRAT input tap va input swipe buyruqlaridan foydalangan holda, qurilmada PIN yoki grafik kodni avtomatik kiritish orqali qulfni ochadi.

🔹 Xotira injeksiyasi: Bu zararli dastur Android tizimidagi ptrace() zaifliklaridan foydalanib, com.google.android.gms kabi jarayonlarga o‘z kodlarini joylashtiradi. Bu esa Google Play Protect xavfsizlik tizimini chetlab o‘tish imkonini beradi.

🔹 Maxfiy ma’lumotlarni o‘g‘irlash: AndroRAT /dev/input/event* dan keystroke logger yordamida klaviatura bosishlarini yozib boradi va hatto shifrlangan messenjerlardan ham yozishmalarni fosh qiladi.

🔹 C2 server bilan aloqani yo‘qotmaslik: Zararli dastur IMEI raqamiga asoslangan DGA (Domain Generation Algorithm) yordamida DNS orqali muqobil boshqaruv serverlari bilan aloqani saqlab qoladi.

AndroRAT ga qarshi qanday himoyalanish mumkin?

📌 Korxonalar va foydalanuvchilar quyidagi choralarni ko‘rishlari kerak:

🔸 Bloklash: 185.130.104.[0-255] va 194.87.92.[0-255] IP diapazonlarini bloklash (AndroRAT boshqaruv serverlari bilan bog‘liq tarmoqlar).

🔸 SELinux xavfsizlik siyosatlari:gesture.key faylini ishonchsiz ilovalar tomonidan o‘qishdan cheklash.

🔸 Shubhali harakatlarni kuzatish:locksettings.db bazasiga g‘ayrioddiy so‘rovlarni nazorat qilish (bu credential dumping xurujining belgisi bo‘lishi mumkin).

🔸 Xotira tahlili:Volatility kabi vositalar yordamida com.android.server.locksettings jarayonlarini tahlil qilish.

🔸 APK ilovalarini tekshirish:REQUEST_COMPANION_START_FOREGROUND_SERVICES_FROM_BACKGROUND ruxsatini so‘rovchi ilovalarni tekshirish (bu AndroRAT infeksiyasining aniq belgisi).

🔴 AndroRAT 2012-yildan beri mavjud bo‘lsada, 2025-yilda u yanada rivojlanib, kuchaygan va Android foydalanuvchilari uchun jiddiy xavf tug‘diruvchi darajaga yetgan.

🔴 Hozirgi versiya Dendroid va OmniRAT kabi boshqa zararli dasturlar kodlaridan foydalangan bo‘lib, Sharqiy Yevropa va Janubi-Sharqiy Osiyo kiberjinoyatchilari tomonidan qo‘llanilayotgan bo‘lishi mumkin.

🔴 Android 15 yangi Gatekeeper himoya tizimini joriy qilgani sababli, kiberjinoyatchilar trash-cleaner kabi ishonchli ilovalar orqali foydalanuvchilarni aldashga harakat qilishmoqda.

🔴 2025-yil yanvar oyidan beri ushbu zararli dastur 12,000 dan ortiq qurilmaga infektsiya qilgani qayd etilgan.

📢 Maslahat: Foydalanuvchilar faqat rasmiy Google Play do‘konidan ilovalarni yuklab olishlari, muntazam xavfsizlik yangilanishlarini o‘rnatishlari va ikki faktorli autentifikatsiyadan foydalanishlari shart!

🛡 Kiberxavfsizlik – bu doimiy kurash. Qurilmangiz xavfsizligini mustahkamlash uchun yuqoridagi choralarni ko‘ring va zararli dasturlardan himoyalaning! 🔐