Rogue RAT

El mercado de los ciberdelincuentes en la Dark Web sigue evolucionando, y lo mismo se puede observar con las herramientas de malware que se ofrecen. Incluso los delincuentes con conocimientos técnicos extremadamente limitados ahora pueden comprar una amenaza de malware sofisticada a precios extremadamente bajos en lugar de tener que invertir una gran suma, como ha sido el caso más común antes. De hecho, los investigadores de infosec han descubierto que un potente RAT (troyano de acceso remoto) llamado Rogue se vende en foros clandestinos de hackers por menos de 30 dólares.

El análisis del código subyacente de Rogue RAT reveló que la amenaza no es tanto una creación única como una combinación de dos familias de Android RAT ya establecidas. Al tomar prestado de las familias Cosmo y Hawkshaw, las personas responsables de Rogue RAT han creado una amenaza con una amplia gama de funcionalidades dañinas. Cuando se implementa completamente en el dispositivo Android de un usuario, el RAT inicia un proceso de registro de teclas que le permite recopilar credenciales de inicio de sesión del sitio web, nombres de usuario y contraseñas de aplicaciones y, lo que es más importante, detalles bancarios. Rogue ofrece un kit completo de funciones de espionaje a sus operadores: pueden rastrear la ubicación GPS del dispositivo comprometido, tomar capturas de pantalla y fotos arbitrarias a través de la cámara del dispositivo, grabar audio y mucho más.

Sin embargo, para poder ejecutar sus operaciones amenazantes, Rogue RAT primero le pide al usuario que le otorgue los permisos requeridos. Si se rechaza, la RAT continuará molestando al usuario con ventanas emergentes pidiendo permisos hasta que finalmente se acepte la solicitud. Rogue se registrará inmediatamente como administrador del dispositivo y eliminará su icono de la pantalla del dispositivo. Para mantener sus capacidades, la amenaza de malware emplea una táctica común: tratar de asustar al usuario para que lo deje en paz, si la víctima intenta revocar los derechos obtenidos por la amenaza manualmente, un mensaje con la pregunta alarmante de '¿Está seguro de borrar todos los datos? Emergerá. Rogue RAT explota el servicio Firebase de Google para aplicaciones para aumentar sus posibilidades de permanecer ocultas y evitar la detección de soluciones anti-malware, lo que le permite hacerse pasar por una aplicación legítima.

El vector de ataque inicial empleado en la distribución de Rogue RAT depende del cliente ciberdelincuente específico. Pueden optar por configurar una campaña de phishing que envíe correos electrónicos con archivos adjuntos comprometidos, inyectar el RAT en aplicaciones falsas, intentar engañar a los usuarios para que las descarguen o algún otro método que hayan elegido.