Novi moćni Android malver reklamira se na hakerskim forumima

Mobilni telefoni, 13.01.2021, 10:00 AM

Istraživači Check Pointa primetili su novi malver poznatog prodavca Android malvera koji se ovog puta udružio sa još jednim kriminalcem sa kojim reklamira i prodaje trojanski program za daljinski pristup (RAT) koji može da preuzme kontrolu nad zaraženim uređajem i sa njega izvuče fotografije, podatke o lokaciji, kontakte i poruke iz popularnih aplikacija kao što su Facebook, Instagram, WhatsApp, Skype, Telegram, Kik, Line i Google Messages.

Prodavac koji se pod imenom “Triangulum” pojavljuje na brojnim forumima dark weba, navodno je 25-godišnjak indijskog porekla. U pitanju je čovek koji je pre tri godine, 20. oktobra 2017., ponudio na prodaju svoj prvi Android malver kojeg je mesecima pre toga najavljivao na jednom hakerskom forumu. Malver je bio mobilni RAT, namenjen Android uređajima i sposoban za krađu osetljivih podataka sa uređaja, uništavanje lokalnih podataka, pa čak i čitavog OS-a, rekli su istraživači.

Triangulum je posle toga nestao na godinu i po dana, da bi se 6. aprila 2019. ponovo pojavio i za samo šest meseci ponudio čak 4 različita proizvoda. To što je u tako kratkom roku ponudio četiri malvera istraživačima se učinilo sumnjivim, jer je bilo jasno da jedna osoba nije mogla razviti četiri malvera za samo pola godine. Istraga je otkrila da je Triangulum sarađivao sa drugim programerom koji se na forumima pojavljuje pod imenom “HeXaGoN Dev” a koji se specijalizovao za razvoj RAT-ova za Android.

Triangulum je kupio nekoliko malvera od HeXaGoN Dev, koje je reklamirao na forumima. Zanimljivo je da se HeXaGoN Dev predstavljao kao potencijalni kupac u pokušaju da se privuče što više kupaca.

U početku je ovaj dvojac nudio trajnu pretplatu po ceni od 60 dolara, a prošle godine su se okrenuli finansijski isplativijem SaaS modelu poslovanja (Software-as-a-Service), naplaćujući kupcima 30 dolara za mesečnu pretplatu i 190 dolara za stalni pristup za malver koji su nazvali Rogue.

Pokušaji Trianguluma da se proširi na rusko tržište doživeli su neuspeh zato što je odbio da deli demo video snimke na forumu na kome je reklamirao malver, pa mu korisnici nisu verovali.

Rogue (v6.2) je najnovija verzija malvera Dark Shades (v6.0) kojeg je HeXaGoN Dev prodavao pre nego što ga je Triangulum kupio u avgustu 2019. Malver dolazi sa funkcijama preuzetim od druge porodice malvera pod nazivom Hawkshaw, čiji je izvorni kod postao javan 2017. godine.

„Triangulum nije razvio ovu kreaciju od nule, uzeo je ono što je bilo dostupno iz oba sveta, otvorenog koda i darkneta, i objedinio ove komponente“, rekli su istraživači.

Ispostavilo se da je Dark Shades „superiorni naslednik“ Cosmosa, posebnog RAT-a koga je prodavao HeXaGoN Dev, čineći tako prodaju Cosmosa suvišnom.

Rogue se prodaje kao RAT „stvoren za izvršavanje komandi, sa neverovatnim karakteristikama i bez potrebe za računarom“, sa dodatnim mogućnostima daljinskog upravljanja zaraženim uređajima pomoću kontrolne table ili pametnog telefona.

RAT se može pohvaliti širokim spektrom funkcija koje mu omogućavaju sticanje kontrole nad uređajem i izvlačenje bilo koje vrste podataka sa uređaja, modifikovanje fajlova na uređaju, pa čak i preuzimanje dodatnih malvera.

Takođe je dizajniran tako da spreči otkrivanje sakrivanjem ikone sa korisničkog uređaja, zaobiđe Androidova sigurnosna ograničenja iskorišćavanjem funkcija pristupačnosti za evidentiranje radnji korisnika i registruje sopstvenu uslugu obaveštavanja da bi pregledao svako obaveštenje koje se pojavi na zaraženom telefonu.

Triangulum je stekao novu klijentelu, ali je u aprilu 2020. malver procurio što je objavio ESET-ov istraživač Lukas Stefanko 20. aprila prošle godine, kada je na Twitteru rekao da je izvorni kod malvera Rogue objavljen na jednom forumu. Ali uprkos tome, istraživači Check Pointa primećuju da Triangulum i dalje prima poruke od zainteresovanih kupaca.