Roma, 15 feb. (askanews) – Una nuova variante di AndroRAT, uno strumento per amministrazione remota (RAT – Remote Administration Tool) che funziona su dispositivi con sistema operativo Android, è stata scoperta dagli esperti di sicurezza di Trend Micro. Questo tool, noto già dal 2012 e sviluppato inizialmente come progetto open source in ambito universitario, riporta il sito del Cert Nazionale, consente di accedere ad un dispositivo a distanza e può essere controllato mediante un’applicazione desktop per estrarre informazioni da un telefono Android. Se usato a scopi malevoli, AndroRAT può consentire ad un attaccante, tra le altre cose, di recuperare gli Sms e i file memorizzati sul dispositivo, rintracciare la posizione del telefono sia tramite la rete, sia sfruttando il Gps, accedere alla rubrica.
Questa nuova variante di AndroRAT si camuffa da un’app di utilità chiamata TrashCleaner, che viene presumibilmente scaricata da un Url malevolo. AndroRAT sfrutta una vulnerabilità divulgata pubblicamente nel 2016 che consente di effettuare l’elevazione dei privilegi ed ottenere i diritti di root, necessari per eseguire azioni privilegiate sul dispositivo. Questa vulnerabilità è già stata risolta da Google nel marzo del 2016. Nonostante ciò, i dispositivi con installate versioni di Android non più supportate e che quindi non ricevono più aggiornamenti di sicurezza o quelli con periodi di distribuzione degli aggiornamenti molto lunghi, rimangono esposti al rischio di essere compromessi da questa nuova variante di AndroRAT. Una volta lanciata sul dispositivo della vittima, TrashCleaner installa una seconda app con un nome in cinese la cui icona assomiglia all’applicazione Calcolatrice preinstallata in molti sistemi Android. Allo stesso tempo, l’icona di TrashCleaner viene rimossa dall’interfaccia utente del dispositivo e il RAT viene attivato in background.
Il RAT configurabile viene controllato da un server remoto e riceve comandi che attivano un gran numero di azioni malevole come la registrazione di audio, lo scatto di foto e il furto di sms e dati di navigazione Web e Gps.
(Fonte: Cybe Affairs)