Як працюють сучасні Android RAT?

🌍Сучасний стан

На даному етапі RAT тобто Remote Access Trojan або трояни віддаленого доступу працюють в концепції Malware as a Service(MaaS) — шкідливе програмне забезпечення(надалі для спрощення — "вірус") як послуга. Це означає що будь хто може купити в інтернеті у виробника або перепродавця спеціалізований софт в якому легко можна створити вірусний апк файл та керувати девайсом жертви без будь яких навичок в будь яких цілях. Так наразі дуже значною популярністю в хакерів користується китайський CraxsRat та його похідні: Spyroid, SilentSpy, G-700, EagleSpy та ін., (доречі останній — EagleSpy був розроблений українцем якого пізніше затримав кібервідділ СБУ по Одещині). CraxsRat же є модернізацією найвідомішого Android ратника, а саме Spynote. Вцілому в основному такі віруси використовують для крадіжки грошей з банківських карт методом банального переводу, ніби це робить користувач, та для крадіжки тих же грошей в криптовалюті та (чомусь) для зламу месенджеру WeChat популярного в Китаї та Індії. Рідше для шпигунства в розважальних або шантажиських цілях.

💥Прорив у механізмі роботи Android RAT

Проривна особливість андроїд ратників останніх 4 років в тому що по факту вони дають повний контроль над телефоном, це TeamViewer але набагато потужніше та без відома користувача. Основна функція яку "абузять" всі перечислені віруси це Спеціальні Можливості. Ця функція і дозвіл були створені для того щоб програми могли допомагати людям з обмеженими можливостями і натискати за них кнопки на екрані, читати вголос текст(екранний диктор) та ін. Ну, як то кажуть, хотіли як краще а вийшло як завжди. Проблема в тому що часто це налаштування використовують і зовсім легітимні програми, наприклад майже кожен оптимізатор, автоклікери(актуально в час епідемії криптовалютних тапалок, чи не так?) та інші програми під які легко і просто можна "підфарбувати" вірус. Це можна зробити як просто надавши йому потрібну аватарку та назву, так і повноцінно вбудувавши вірус в існуючу програму, так скажемо "подаруночком". Ну, з теорією розібралися, а що ж на практиці? На практиці, після того як ви встановите інфікований файл та запустите програму, вам запропонують активувати для неї налаштування спеціальних можливостей, та навіть скажуть як це зробити, щоб ви, раптом, не заплуталися. А якщо ви заплуталися, та за 25 секунд не встигли цього зробити, вірус знову покаже вам своє допоміжне віконце в якому написана інструкція з графічним доповненням. Зручно, чи не так? Поки ви не дали цей дозвіл, можете вважати що точка неповернення ще не пройдена. Без цього дозволу вірус нічого окрім як кожні 25 секунд видавати це повідомлення зробити не зможе, та його можна видалити легко і без проблем. Але, як тільки дозвіл надано починається найцікавіше. Екран перекривається чорною пеленою в центрі якої написано щось по типу "почекайте трохи". За цією пеленою вірус приховує від вас автоматичний процес запиту та отримання всіх потрібних дозволів. Коли він це все зробить, чорна перелена прибереться і користувач який нічого навіть і не зрозумів зможе продовжити користуватися смартфоном і нічого не підозрювати, адже процес отримання дозволів дуже швидкий і займає не більше 30 секунд. Ну ось, вірус вже отримав все що тільки можна було. Що ж хакер може зробити з вашим телефоном?

🛠Перелік можливостей вірусу

1) Повне керування екраном. Перегляд, натискання будь куди, свайпи, і так далі.

2) Блокування екрану. Вилізає чорний екран за яким хакер може робити що хоче, а ви це навіть не побачите.

3) Келоггінг. Хакер баче все що ви вводите а вірус автоматично все зберігає. Якщо під час перебування вірусу на телефоні ви його розблокували та ввели пароль від банку, вважайте що хакер вже валяється в екстазі адже більше нічого щоб спиздити у вас гроші вночі, коли ви спите, йому вже не потрібно.

4) Анти-видалення. Не сподобався "подаруночок"? Хочете видалити? Не так швидко! Вірус автоматично блокує доступ до всіх налаштувань через відмову в яких він може втратити здатність до роботи. Вас просто буде майже одразу "викидати" з незручних хакеру місць.

Видалити вірус можливо, але для цього потрібно або А) Мати root доступ Б) Використати безпечний режим В) Видалити програму за допомогою вбудованого магазину програм, наприклад App Market в деяких китайських смартфонах типу Oppo Г) Бути самим хакером, адже той хто керує вірусом має можливість в один клік його видалити з телефону жертви.

5) Читання та відправка смс. Хакер бачить будь які смски та може відправляти їх куди захоче.

6) Керування контактами.

7) Дзвінки куди завгодно та перегляд журналу дзвінків.

8) Повне ігнорування будь яких "чорних екранів" банків та криптопрограм, хакер може бачити навіть там де ви самі не зможете зробити скріншот через "політику конфіденційності"

9) Інжекти. Хакер може в будь який момент запустити для вас фейкове меню авторизації банку, криптобіржі, месенджеру та ін.

10) Повний доступ до мікрофону. Хакер може як слухати так і відтворювати звуки.

11) Повне ігнорування будь яких систем оптимізації Android. Вірус так налаштований та отримує такі дозволи що система не буде його вигружати з пам'яті, а після перезавантаження телефону він запуститься сам, та так швидко, що ви навіть нічого не встигнете зробити.

12) Можливість обходити антивірусний софт. Звичайно безкоштовний крякнутий CraxsRat версії позаминулого місяця вже ніякі антивіруси не обійде, навіть гугл плей захист буде його бачити. Але на ринку можна знайти доволі дешеві "крипти" які дозволяють обходити базові антивіруси, а саме вбудовані Samsung DeviceCare, Xiaomi Security та ін. а також гугл плей захист. Якщо хакер постарається він зможе обійти деякі безкоштовні антивіруси з Google Play. Обійти антивіруси по типу Avast-у чи Avira вже буде складно, а от такі антивіруси як Bitdefender та Eset майже неможливо, вони занадто добре знають сигнатуру вірусу, а Bitdefender так і взагалі має поведінковий аналіз який наразі неможливо обійти, як мінімум для цього типу вірусів.

13) Використання камери. Як фронтальної так і селфі. В будь який момент.

14) Перезавантаження підключення. Якщо ви вимкнути інтернет а потім увімкнули вірус знову дасть доступ своєму творцю. Перезавантажили телефон? Не проблема, теж підключення пійде. Відключили світло і інтернет такий поганий шо нічого не працює? Нічого, вірус може почекати і 4 години і 12.

15) Видавання будь яких сповіщень.

16) Встановлення та видалення програм.

17) Майнинг криптовалюти за рахунок ваших потужностей.

18) Робота на будь яких версіях андроїду з 7 по 14 включно. На 13 та 14 лише з використанням дропперу.

19) Доступ до файлів. Вірус може як завантажувати файли на телефон так і навпаки завантажувати файли з телефону на сервер хакера.

20) Блокування та розблокування екрану.

21) Перегляд акаунтів.

22) Геолокування.

23) Підміна будь якої інформації в буфері обміну, так наприклад ви можете скопіювати номер однієї карти, а вірус її замінить на іншу, так само з адресою криптогаманця.

24) Блокування екрану з вимаганням викупу(Ransom)

25) Перегляд сповіщень.

26) Перехоплення кодів авторизації Google Authenticator.

27) Можливість приховувати іконку вірусу з лаунчеру та робочого столу.

28) Відкривання посилань.

29) Повне видалення усіх даних з телефону.

30) Перегляд базової інформації про телефон. Модель, IMEI, та інше.

31) Використання смартфону в DDOS атаках.

🛡Як запобігти потраплянню віруса

Нічого так списочок, чи не так? То як же запобігти потраплянню такого вірусу на телефон? Дуже просто.

1) Купуйте смартфони перевірених брендів по типу Samsung чи Xiaomi, бажано з останніми версіями системи та патчів безпеки.

2) Встановіть антивірус. Bitdefender Free, Avast, Eset, Avira будуть гарним вибором. Зазвичай такі антивіруси навіть не намагаються обійти, адже хакери орієнтуються на більшість, на 90% тих хто ніякі антивіруси не встановив, ну бо ж "а нащо мені антивірус на смартфоні, дядя з ютубу сказав що не треба!", а витрачати купу часу щоб додати 10% аудиторії...ну таке.

3) Встановлювати програми лише з Google Play. До програм з інтернету варто відносинитися з насторогою, а особливу увагу варто привернути тим додаткам що вам скидають в приватних повідомленнях або в телеграмі.

4) Якщо вже і завантажуєте програми зі сторонніх джерел, то відправляйте їх на virustotal.com та вичікуйте 7 днів, після чого повторіть аналіз натисканням кнопки у вигляді стрілки, що обертається. За 7 днів вірустотал встигне поділитися файлом з усіма антивірусними лабораторіями, а вони зроблять свої остаточні висновки стосовно файла. Так ви убезпечите себе від усіх вірусів, таку операцію обійти можуть лише дуже маловідомі віруси які коштують стільки, що використовувати їх будуть лише проти дуже важливих та впливових людей, по типу президентів, політиків та ін.

🔍Діагностика наявного телефону

А як дізнатися чи не підхопив такий вірус вже? Дуже просто. Спробуйте зайти в налаштування-->спеціальні можливості-->Встановлені сервіси(назви пунктів можуть трохи відрізнятися на смартфонах Xiaomi, Oppo та інших китайських). Якщо вас не викинуло з налаштувань в той же момент, найімовірніше такий вірус в вас або не встановлений взагалі, або не працює. Тим не менш не буде зайвим просканувати телефон кількома гарними антивірусами, наприклад з вищеперечислених в цій статті, адже не виключено що не маючи цього вірусу у вас можуть бути інші, наприклад рекламні трояни та ін.

❌Видалення вірусу

Як видалити такий вірус якщо ви розумієте що він присутній у вас? Дуже просто. Найперше що ви маєте зробити це вимкнути інтернет на своєму телефоні. Без інтернету вірус втрачає зв'язок з хакером до того моменту поки інтернет знову не буде доступним. Далі затисніть кнопку для вимкнення екрану телефону, далі затисність кнопку вимкнення щоб з'явилася кнопка переходу в безпечний режим. Можете також подивитися ролик на ютубі з комп'ютеру або якого неінфікованого пристрою, або почитати статті в інтернеті, як в безпечний режим увійти саме на вашій моделі телефону. Коли ви увійшли в безпечний режим, жодна з програм окрім системних не зможе працювати. Просто зайдіть налаштування-->застосунки, та видаліть вірус. Якщо ви не знаєте який їз застосунків є вірусом, можете подивитися список застосунків що мають активний доступ до спец.можливостей, одним  з них буде вірус.

📞Зв'язок зі мною

Також ви можете звернутися за допомогою з будь яких питань, як захисту, виявлення так і видалення до мене @HBluebottle